A VexTrio, uma das mais complexas e influentes redes de publicidade maliciosa da atualidade, está explorando sites WordPress comprometidos para disseminar golpes em escala global. Com conexões diretas a serviços como Help TDS e Disposable TDS, a operação revela uma teia sofisticada de distribuição de malware baseada em uma rede de afiliados e técnicas avançadas de redirecionamento.
Sites WordPress são alvos de rede criminosa global ligada à VexTrio
Como funciona o esquema da VexTrio?
A VexTrio opera como uma holding de empresas de tecnologia publicitária maliciosa. Entre seus braços afiliados estão nomes como Los Pollos, Taco Loco e Adtrafico — todos voltados para a monetização fraudulenta via internet. Essas companhias recrutam afiliados, chamados de distribuidores de malware, que inserem códigos em sites legítimos (principalmente WordPress) para redirecionar visitantes a páginas de golpes.
Esses redirecionamentos ocorrem por meio de SmartLinks e notificações push, encaminhando as vítimas a sites com ofertas falsas, aplicativos maliciosos, páginas de phishing e fraudes com vales-presente.
WordPress como vetor de ataques
Sites WordPress estão sendo comprometidos com injeções de scripts maliciosos que utilizam registros DNS TXT para executar redirecionamentos. As campanhas batizadas de Balada, DollyWay, Sign1 e DNS são alguns exemplos já mapeados.
Segundo relatório da GoDaddy, esses scripts são projetados para aproveitar redes de corretores de tráfego associadas à VexTrio, que contam com algoritmos de geração de domínios e técnicas de DNS sofisticadas para ocultar a origem e o destino dos redirecionamentos.
Impacto e mutações da rede VexTrio
Em novembro de 2024, uma reviravolta ocorreu quando a ONG Qurium revelou que a empresa suíço-tcheca Los Pollos estava diretamente ligada à VexTrio. Após a exposição, a monetização via links push foi suspensa, forçando os agentes de ameaças a migrarem para alternativas como Help TDS e Disposable TDS.
A Infoblox, empresa de inteligência de ameaças DNS, analisou mais de 4,5 milhões de respostas TXT de sites comprometidos e identificou dois grupos distintos de servidores de comando e controle (C2), ambos ligados à Rússia. Cada grupo operava com estruturas de redirecionamento próprias, mas levando inicialmente ao VexTrio e, posteriormente, ao Help TDS.
Expansão do modelo TDS e ligações obscuras
Com base em análises recentes, Help TDS e Disposable TDS revelaram-se parte de um ecossistema ainda maior. Essas plataformas têm relações exclusivas com a VexTrio e utilizam técnicas semelhantes de distribuição de tráfego. Uma das alternativas mais recentes adotadas pelos operadores é o Monetizer, uma plataforma que conecta tráfego de afiliados a anunciantes via tecnologia TDS.
Embora esses serviços pareçam independentes, há evidências de vínculos estreitos com a Rússia — seja por meio de infraestrutura de hospedagem ou de registros de domínio. A Infoblox alerta que, embora Help TDS não possua a mesma complexidade técnica da VexTrio, o elo entre ambos é evidente e preocupante.
Notificações push como vetor de ameaças
Diversas empresas ligadas à VexTrio utilizam o Google Firebase Cloud Messaging (FCM) ou APIs próprias de push notification para atingir usuários. Isso inclui a distribuição de links maliciosos diretamente nas notificações do navegador, uma técnica altamente eficaz e de difícil bloqueio.
Empresas como Partners House, BroPush, RichAds, Admeking e RexPush também fazem parte dessa rede global, ampliando ainda mais o alcance das campanhas de engenharia social conduzidas pela VexTrio e seus afiliados.
Perspectivas e o que esperar
O uso de sites WordPress comprometidos como vetor de distribuição de malware evidencia uma vulnerabilidade crítica na web moderna. Para desenvolvedores e administradores, é essencial adotar práticas de segurança mais rígidas, como atualizações constantes e monitoramento de DNS.
Enquanto isso, o modelo TDS continua evoluindo, com novas plataformas surgindo e rotas de monetização se adaptando às pressões legais e à exposição pública. O ecossistema da VexTrio segue resiliente, o que demanda uma resposta coordenada entre empresas de segurança, governos e os próprios provedores de hospedagem.
