كشفت شركة Infoblox بالتعاون مع Guardio وConfiant أن جهة التهديد المعروفة باسم Vane Viper تدير شبكة عالمية معقدة للإعلانات الخبيثة والاحتيال الإعلاني، معتمدة على شركات وهمية وهياكل ملكية غامضة للتهرب من المسؤولية.
وأكد التقرير أن Vane Viper توفر بنية تحتية أساسية لحملات البرمجيات الخبيثة، والتصيّد، والاحتيال الإعلاني منذ أكثر من عقد، وأنها لا تكتفي بوساطة حركة المرور للمهاجمين، بل تدير بدورها حملات مباشرة باستخدام أساليب احتيال سبق توثيقها.
استغلال المواقع والبنية التحتية
تُعرف Vane Viper أيضًا باسم Omnatuor، وقد وُصفت سابقًا بأنها شبكة إعلانات خبيثة تستغل ثغرات مواقع WordPress لبناء شبكة ضخمة من النطاقات المخترقة، تُستخدم لنشر برمجيات خطيرة مثل riskware، وبرمجيات التجسس، والإعلانات غير المرغوب فيها.
ومن أبرز تقنياتها استغلال أذونات الإشعارات الفورية (push notifications) لتقديم الإعلانات حتى بعد مغادرة المستخدم الصفحة، وذلك عبر خدمة service workers التي تُبقي متصفحًا خفيًا يعمل في الخلفية لاستقبال الأحداث وإرسال الإشعارات.
نطاق عالمي واسع
وفقًا للتقرير، أنتجت Vane Viper نحو تريليون استعلام DNS خلال العام الماضي، في نصف الشبكات التي تراقبها Infoblox. وتعتمد على مئات الآلاف من المواقع المخترقة والإعلانات الخبيثة لإعادة توجيه المستخدمين نحو إضافات متصفح ضارة، مواقع تسوق وهمية، محتوى إباحي، عمليات احتيال عبر الاستبيانات، تطبيقات مزيفة، برمجيات مشبوهة، بل وحتى برمجيات خبيثة مثل Triada على نظام أندرويد.
كما تُظهر الأدلة وجود روابط بين Vane Viper وبين شركات أخرى مثل URL Solutions وWebzilla وXBT Holdings، وبعضها مرتبط بعمليات تضليل إعلامي روسية مثل حملة Doppelgänger.
أبعاد تجارية مثيرة للجدل
ترتبط Vane Viper بشركات تحت مظلة AdTech Holding في قبرص، من بينها PropellerAds وMonetag وProPushMe وZeydoo وNotix وAdex. وتشير التقديرات إلى أن نحو 60,000 نطاق يُدار ضمن بنيتها التحتية، معظمها لا يبقى نشطًا لأكثر من شهر، بينما يستمر بعضها لأكثر من 1200 يوم مثل omnatuor[.]com وpropeller-tracking[.]com.
وسُجّل ارتفاع هائل في عدد النطاقات الجديدة المسجلة ضمن عملياتها، إذ بلغ 3,500 نطاق في أكتوبر 2024، مقارنة بأقل من 500 نطاق في أبريل 2023. ورغم نفي PropellerAds أي تورط، إلا أن التحليلات تشير إلى أن بنيتها التحتية ساعدت على تشغيل حملات احتيالية واسعة.
تهديد متنكر في صورة شبكة إعلانية
أكدت Infoblox أن Vane Viper ليست مجرد جهة تهديد تستغل منصات الإعلانات، بل هي بحد ذاتها منصة إعلان خبيثة متكاملة. فهي تدّعي تقديم حلول إعلانية للمعلنين، بينما تُستخدم بنيتها التحتية في الواقع لنشر البرمجيات الضارة وعمليات الاحتيال على نطاق عالمي.
