Infoblox detecta la conexión entre hackers de WordPress y redes TDS vinculadas a VexTrio

Infoblox revela una conexión entre ciberataques a WordPress y redes TDS asociadas al actor malicioso VexTrio, con uso avanzado de tecnología Adtech.

Por Antonio Adrados Herrero,
3 min

La firma de ciberseguridad Infoblox ha identificado una conexión directa entre hackers que comprometen sitios WordPress y redes de distribución de tráfico (TDS) relacionadas con el grupo malicioso VexTrio, una estructura compleja que actúa como intermediario clave en la cadena de suministro de múltiples campañas de malware.

El hallazgo fue realizado por Infoblox Threat Intel, la unidad de inteligencia de la compañía, mediante un conjunto de estudios observacionales en los que se introdujeron alteraciones deliberadas en el comportamiento de TDS sospechosos. Cuando se interrumpió la operativa de VexTrio, se observó que diversos agentes maliciosos migraron rápidamente a un nuevo sistema: Help TDS, aparentemente vinculado al mismo actor.

Una sofisticada cadena de suministro basada en Adtech y DNS

El análisis reveló que varios TDS del mercado compartían software y recursos con VexTrio, y que todos utilizaban tecnologías de advertising (Adtech) como Partners House, Bro Push o RichAds para distribuir contenido malicioso. Esto ha permitido rastrear las relaciones técnicas y operativas entre hackers y proveedores de tráfico, una táctica clave para personalizar y escalar ataques contra usuarios de todo el mundo.

Gracias al estudio de 4,5 millones de registros DNS TXT durante seis meses, Infoblox también localizó dos servidores de comando y control (C2) alojados en infraestructura rusa, aportando información crítica sobre la infraestructura DNS maliciosa que utilizan estos actores.

Una amenaza que afecta a miles de sitios legítimos

El uso de WordPress y otros CMS como punto de entrada convierte a VexTrio y sus asociados en una amenaza persistente. Según el informe, la estructura de VexTrio permite comprometer miles de sitios legítimos con rapidez, impactando negativamente en la reputación de marca de las organizaciones víctimas y exponiendo a millones de usuarios a campañas de malware personalizadas.

Además, la relación entre hackers y redes TDS maliciosas demuestra una gran capacidad de adaptación. Cuando sus operaciones son detectadas o interrumpidas, migran su infraestructura rápidamente y continúan explotando vulnerabilidades mediante canales alternativos, como nuevos TDS asociados.

La paradoja de Adtech: vector de ataque y vulnerabilidad

Uno de los hallazgos más relevantes del informe de Infoblox es que el uso de tecnología Adtech es, a la vez, un punto fuerte y una debilidad para los atacantes. Al operar con plataformas comerciales de publicidad digital, los investigadores pudieron identificar identificadores únicos de operadores de malware, abriendo la puerta a la colaboración con los proveedores de Adtech para rastrear y desactivar campañas maliciosas.

Recomendaciones para una defensa proactiva

Infoblox subraya la importancia de incluir soluciones de seguridad basadas en DNS para protegerse frente a TDS fraudulentos. Los servicios de Protective DNS, combinados con prácticas de auditoría y mantenimiento de registros DNS, pueden bloquear el acceso a contenidos maliciosos antes de que lleguen al usuario.

Asimismo, se aconseja reforzar la concienciación de los usuarios para evitar caer en trampas como las notificaciones push maliciosas, y deshabilitar servicios en la nube que ya no estén activos, eliminando sus registros DNS asociados.

Con este nuevo descubrimiento, la compañía refuerza su papel en la defensa avanzada del ecosistema DNS, una capa crítica y a menudo subestimada en las estrategias de ciberseguridad empresarial.