VexTrio

اكتشف باحثو Infosec ما يزيد عن 70000 موقع ويب يُعتقد أنها مشروعة، وقد تم الاستيلاء عليها ودمجها في شبكة يستخدمها المجرمون لنشر البرامج الضارة واستضافة صفحات التصيد الاحتيالي ومشاركة محتويات أخرى غير مشروعة. تعمل هذه الشبكة، التي يشار إليها باسم VexTrio، في المقام الأول دون أن يتم اكتشافها منذ إنشائها في عام 2017 أو ربما قبل ذلك. ومع ذلك، فقد سلطت الاكتشافات الأخيرة الضوء على المزيد من المعلومات حول طبيعة هذه العملية.

VexTrio هي عملية كبيرة يمكن أن تؤدي إلى مشكلات أمنية خطيرة

العملية التي يستخدمها مجرمو الإنترنت ليست معقدة، فهي تشبه أنظمة توزيع حركة المرور (TDSes) المستخدمة بشكل شائع في مجال التسويق لتوجيه مستخدمي الإنترنت إلى مواقع محددة بناءً على اهتماماتهم أو معايير مماثلة.

في سياق VexTrio، تم اختراق عشرات الآلاف من مواقع الويب، مما أدى إلى إعادة توجيه زوارها إلى الصفحات التي تسهل تنزيل البرامج الضارة، أو عرض واجهات تسجيل الدخول المزيفة لسرقة بيانات الاعتماد، أو المشاركة في أنشطة احتيالية أو إجرامية إلكترونية أخرى.

ويعتقد أن ما يقرب من 60 شركة تابعة تشارك في الشبكة بصفات مختلفة. يساهم بعض الشركاء في مواقع الويب المخترقة، ويوجهون الأهداف إلى البنية التحتية لـ TDS الخاصة بـ VexTrio، والتي تقوم بعد ذلك بتوجيه متصفحات الضحايا نحو الصفحات الضارة. تقوم TDS عادةً بإعادة توجيه الأفراد فقط إذا استوفوا معايير محددة.

تتقاضى VexTrio رسومًا من الأفراد الذين يقومون بتشغيل مواقع احتيالية لتوجيه حركة مرور الويب في طريقهم، مع حصول الأفراد الذين قدموا مواقع الويب المخترقة أيضًا على حصة. بالإضافة إلى ذلك، قد يقوم TDS بتوجيه المستخدمين إلى مواقع الويب الاحتيالية التي يديرها طاقم VexTrio نفسه، مما يسمح للمجرمين بالاستفادة مباشرة من أنشطتهم الاحتيالية. يشكل VexTrio خطرًا أمنيًا كبيرًا نظرًا لمدى وصوله الواسع وإعداده المتطور.

يتم استخدام VexTrio لتقديم تهديدات البرامج الضارة الضارة للضحايا

إحدى سلالات البرامج الضارة الموزعة عبر VexTrio هي SocGholish ، والمعروفة أيضًا باسم FakeUpdates، وقد برزت كواحدة من أكثر سلالات البرامج الضارة انتشارًا منذ بداية عام 2024.

يتم تنشيط SocGholish، المشفر بلغة JavaScript، عادةً عندما يزور المستخدم موقع ويب مخترقًا. وهو يستهدف على وجه التحديد أجهزة Windows، ويقدم نفسه كتحديث للمتصفح. إذا تم السماح بتثبيته ثم تنفيذه من قبل المستخدم المطمئن، فإن SocGholish يصيب أجهزة الكمبيوتر الخاصة به ببرامج ضارة مستترة وبرامج فدية ومكونات ضارة أخرى. ومن الجدير بالذكر أن شركة SocGholish قد لوحظت وهي تقوم بتسليم GootLoader و Dridex و NetSupport و DoppelPaymer و AZORult إلى أجهزة الضحايا. تُنسب البرمجيات الخبيثة إلى مجموعة ذات دوافع مالية تُعرف باسم TA569 وUNC1543.

بالإضافة إلى ذلك، هناك أدلة تشير إلى استخدام VexTrio لتوزيع البرامج الضارة ClearFake التي تسرق المعلومات.

مجموعات برامج الفدية تحصد مدفوعات فدية قياسية من الضحايا

في عام 2023، شهدت مجموعات الجرائم الإلكترونية المتخصصة في تهديدات برامج الفدية انتعاشًا ملحوظًا، حيث تجاوزت المدفوعات مليار دولار أمريكي، مما يشير إلى زيادة كبيرة في حجم هجماتها وتعقيدها. يمثل هذا خروجًا كبيرًا عن الانخفاض الملحوظ في عام 2022. ويسلط الباحثون الضوء على أن الاتجاه العام من عام 2019 إلى عام 2023 يشير إلى مشكلة مستمرة ومتنامية على الرغم من الانخفاض المؤقت في مدفوعات برامج الفدية خلال عام 2022. ومن الضروري ملاحظة أن الرقم المبلغ عنه لا يشمل الأثر الاقتصادي الكامل، بما في ذلك خسارة الإنتاجية ونفقات الإصلاح التي يتكبدها الضحايا.

وفي الواقع، شهد عام 2023 طفرة كبيرة في تواتر وحجم وحجم هجمات برامج الفدية التي نظمتها مجموعة متنوعة من الجهات الفاعلة، بما في ذلك النقابات الكبيرة والمجموعات الأصغر والأفراد. ولعب ظهور وسطاء الوصول الأولي (IABs) دورًا رئيسيًا في تسهيل هذه الهجمات من خلال توفير الوصول إلى الشبكات، والتي باعوها لاحقًا لمهاجمي برامج الفدية بتكلفة منخفضة نسبيًا.

فيما يتعلق بوجهة الأموال التي تم الحصول عليها كدفعات فدية، كانت البورصات والخلطات المركزية مفضلة باستمرار لمخططات غسيل الأموال. ومع ذلك، في عام 2023، ظهرت خدمات جديدة، مثل الجسور والمبادلات الفورية وخدمات المقامرة، واكتسبت قوة جذب سريعة.