深度揭秘：你点的我不是机器人，可能正在喂养一个庞大的黑暗广告科技帝国！

去年年底，一则惊人发现震动了安全圈：克里姆林宫支持的虚假信息宣传活动，竟然利用与那些网络骗子和网站黑客们所依赖的同一种恶意广告技术，成功绕过了社交媒体平台的内容审查。

而一份针对此调查后续影响的新报告更是指出，这个黑暗的广告技术产业远比我们之前所知的更具韧性，其内部关系也更为错综复杂。

时间拨回到2024年11月，安全公司Qurium的研究人员发布了一项针对“Doppelganger”（分身）网络的调查报告。这个虚假信息网络通过复制克隆知名网站，大肆传播亲俄叙事，渗透欧洲媒体。

Doppelganger的运作模式颇为诡秘，它使用特制链接，在用户最终看到虚假新闻内容前，会先在浏览器中跳转一长串域名。Qurium发现，Doppelganger依赖于一种复杂的“域名伪装”（domain cloaking）服务。这种技术能让网站向搜索引擎展示一套内容，而向普通访客展示另一套完全不同的内容。这不仅帮助虚假信息网站“瞒天过海”，延长其在线寿命，还确保了只有特定目标受众才能看到那些精心炮制的内容。

更令人惊讶的是，Qurium发现Doppelganger的域名伪装服务竟然还在推广在线约会网站，并且与VexTrio共享了大量基础设施。VexTrio被认为是现存最古老的恶意流量分发系统（TDS）。虽然正规广告网络也常用TDS来管理不同来源的流量并追踪点击来源，但VexTrio的TDS主要处理的却是来自网络钓鱼、恶意软件和社会工程骗局受害者的流量。

黑化之路：《绝命毒师》的“灵感”

深挖之下，Qurium注意到Doppelganger的域名伪装服务将瑞士的一家互联网提供商作为其域名重定向链条的第一个入口。他们还发现，同样的基础设施上，竟然托管着一对联名推广的联盟营销服务，它们正源源不断地将流量导向一些不正经的成人约会网站：LosPollos[.]com 和 TacoLoco[.]co。

这个LosPollos广告网络，从名字到设计元素，都大量借鉴了热门美剧《绝命毒师》(Breaking Bad)。它几乎就是剧中那个为暴力冰毒集团洗钱的“炸鸡兄弟”连锁餐厅 (Los Pollos Hermanos) 的翻版。

**(LosPollos广告网络借鉴了热门剧集《绝命毒师》中的角色和主题。其Logo（左上角）正是剧中虚构炸鸡连锁店老板Gustavo Fring的形象。) **

在LosPollos注册的推广者会获得一种包含大量JavaScript代码的“智能链接”(smartlinks)。这些链接会将流量导入VexTrio的TDS，后者再将流量分发给各种广告合作伙伴，包括约会服务、抽奖活动、诱导下载的手机应用、金融诈骗和恶意软件下载站点等。

LosPollos的推广者通常会将这些智能链接植入那些通过已知漏洞被黑的WordPress网站中。每当有用户通过这些被黑网站的链接落入圈套，推广者就能赚取一笔小额佣金。

**(Los Pollos广告网络在LinkedIn上进行自我推广。) **

据Qurium透露，TacoLoco是一个流量变现网络，它通过欺骗性手段诱导用户启用“推送通知”——一种跨平台的浏览器标准，允许网站在浏览器外部显示弹出消息。例如，在Windows系统上，这些通知通常出现在屏幕右下角，系统时钟的上方。

在VexTrio和TacoLoco的案例中，请求批准通知的弹窗本身就极具欺骗性——它们被伪装成“CAPTCHA”验证码，那种通常用来区分自动机器人和真实访客的挑战。多年来，VexTrio及其合作伙伴成功诱骗了无数用户启用这些网站通知，随后便持续不断地向受害者的设备推送各种虚假的病毒警报和误导性弹窗。

**(VexTrio诱导用户接受设备推送通知的落地页示例。) **

根据GoDaddy在2024年12月发布的年度报告，2024年近40%的被黑网站都通过LosPollos的智能链接将访问者重定向到了VexTrio。

ADSPRO 与 TEKNOLOGY：幕后疑云

2024年11月14日，Qurium发布研究报告，进一步证实LosPollos和TacoLoco是由Adspro Group运营的服务。这是一家在捷克共和国和俄罗斯注册的公司，其基础设施则托管在瑞士的C41和Teknology SA这两家服务商那里。

Qurium指出，LosPollos和TacoLoco网站声明其内容版权归ByteCore AG和SkyForge Digital AG所有，这两家瑞士公司均由Teknology SA的老板Giulio Vitorrio Leonardo Cerutti经营。进一步调查显示，LosPollos和TacoLoco是由一家名为Holacode的公司开发的应用，而Cerutti正是Holacode的CEO。

Holacode推广的应用包括多个VPN服务，以及一个名为Spamshield的应用，声称可以阻止不必要的推送通知。但今年1月，Infoblox表示他们在自己的移动设备上测试了该应用，发现它会先隐藏用户的通知，24小时后停止隐藏并要求付费。随后，Spamshield的开发者名称从Holacode改为了ApLabz，但Infoblox注意到，几款更名后的ApLabz应用的《服务条款》中仍然提到了Holacode。

令人难以置信的是，在我甚至还没有提及Cerutti的名字或向他发出评论请求之前，他就威胁要以诽谤罪起诉我（Cerutti在一月份主动发出了法律威胁，当时仅仅是因为Infoblox在LinkedIn上发布了一篇关于VexTrio的帖子，其中标记了他的公司和我的名字）。

当被问及对Qurium和Infoblox调查结果的看法时，Cerutti矢口否认与VexTrio有任何关联。他坚称，其公司都严格遵守运营所在国的法规，并且所有运营活动都完全透明。

Cerutti回应道：“我们是一家在广告和营销领域运营的集团，拥有一个联盟网络项目。我不会说我们完美无缺，但我坚决声明，我们与VexTrio没有任何关系。”

他继续说道：“不幸的是，作为这个领域的大玩家，我们也需要处理大量的发布商欺诈、可疑流量、虚假点击、机器人、被黑账户、被列名的以及转售的发布商账户等等问题。我们因为这些不当行为损失惨重，并定期进行内部筛查和审计，持续打击不良流量来源。这个领域竞争也非常激烈，一些新兴公司常常会对像我们这样更成熟的主流玩家采取不正当手段。”

安全公司Infoblox与Qurium合作，向其行业合作伙伴披露了VexTrio基础设施的详细信息。就在Qurium发布调查结果四天后，LosPollos宣布暂停其推送变现服务。不到一个月，Adspro就更名为Aimed Global。

一张思维导图，展示了Infoblox和Qurium调查中的一些关键发现和联系。点击可放大。

风云突变：一次意味深长的“转向”

2025年3月，GoDaddy的研究人员记录了DollyWay恶意软件的动向。在其长达八年的活动中，DollyWay一直将受害者重定向到VexTrio，但这一行为在2024年11月20日戛然而止。几乎在一夜之间，DollyWay以及其他几个先前使用VexTrio的恶意软件家族，都开始将其流量推向另一个名为Help TDS的流量分发系统。

通过深入研究历史DNS记录和Help TDS使用的独特代码脚本，Infoblox确定，Help TDS长期以来与VexTrio保持着独家合作关系（至少在LosPollos于11月停止其推送变现服务之前是这样）。

在今天发布的一份报告中，Infoblox表示，通过对VexTrio和Help TDS使用的JavaScript代码、网站诱饵、智能链接和DNS模式进行详尽分析，发现它们至少与另外四个TDS运营商（不包括TacoLoco）有关联。这四个实体——Partners House、BroPush、RichAds和RexPush——都是总部位于俄罗斯的推送变现项目，它们向推广者付费，以吸引用户注册各种服务，但主要是在线约会服务。

Infoblox的报告写道：“随着Los Pollos推送变现业务的终结，我们观察到利用虚假CAPTCHA诱导用户接受推送通知的情况有所增加，尤其来自Partners House。” “这些商业实体之间的关系仍然是个谜；虽然它们肯定是长期合作伙伴，相互重定向流量，并且都与俄罗斯有关联，但没有明显的共同所有权。”

Infoblox的威胁情报副总裁Renee Burton表示，安全行业通常将VexTrio及其他恶意TDS使用的欺骗性手段视为一种法律上的灰色地带，主要与广告软件和恐吓软件等危险性较低的安全威胁相关联。

但Burton认为这种观点是短视的，它助长了一个同样会推送大量纯粹恶意软件的黑暗广告技术产业。她指出，全球每年有数十万个被黑网站将受害者重定向到VexTrio及其附属TDS构成的复杂网络中。

Burton说：“这些TDS是一种险恶的威胁，因为它们与信息窃取器和诈骗等行为的传播直接相关，每年给消费者造成数十亿美元的损失。从更大的战略角度来看，我的结论是，俄罗斯的有组织犯罪团伙已经掌控了恶意广告技术，而这些只是众多涉案团伙中的一部分。”

我们能做些什么？

正如KrebsOnSecurity早在2020年就警告过的那样，上网时对网站的通知请求要非常谨慎。很多情况下这些通知是无害的，但正如我们所见，有大量不正当的公司付费给网站所有者安装他们的通知脚本，然后将这条通信路径转售给诈骗者和网络骗子。

如果你想阻止网站弹出通知请求，所有主流浏览器都提供了相应设置——可以全局禁止，也可以针对特定网站进行设置。虽然完全阻止通知可能会破坏某些网站的功能，但为你那些不太懂技术的朋友或家人管理的设备这样做，可能会在未来省去很多麻烦。

• Mozilla Firefox 火狐浏览器：导航至“设置” -> “隐私与安全” -> “权限”部分，点击“通知”旁边的“设置…”按钮。该页面会显示已允许的通知，并允许你编辑或删除任何条目。勾选“阻止新的请求允许通知”即可完全阻止。

• Google Chrome 谷歌浏览器：点击地址栏右侧的三个点图标，一直向下滚动到“设置” -> “隐私和安全” -> “网站设置” -> “通知”。如果你想永久禁止通知请求，选择“不允许网站发送通知”按钮。

• Apple Safari 苹果浏览器：前往“设置” -> “网站”，然后在侧边栏中点击“通知”。如果你希望完全关闭通知请求，取消勾选“允许网站请求发送通知的权限”选项。