VexTrio
Изследователите на Infosec са открили над 70 000 уебсайта, смятани за легитимни, които са били отвлечени и включени в мрежа, използвана от престъпници за разпространение на зловреден софтуер, хостване на фишинг страници и споделяне на друго незаконно съдържание. Тази мрежа, наричана VexTrio, работи основно незабелязано от създаването си през 2017 г. или вероятно по-рано. Въпреки това, последните разкрития извадиха наяве повече информация за естеството на тази операция.
Съдържание
VexTrio е значителна операция, която може да доведе до сериозни проблеми със сигурността
Процесът, използван от киберпрестъпниците, не е толкова сложен, наподобявайки системите за разпределение на трафика (TDS), които обикновено се използват в сферата на маркетинга, за да насочват интернет потребителите към конкретни сайтове въз основа на техните интереси или подобни критерии.
В контекста на VexTrio десетки хиляди уебсайтове са компрометирани, пренасочвайки посетителите си към страници, които улесняват изтеглянето на зловреден софтуер, показват фалшиви интерфейси за влизане за кражба на идентификационни данни или участват в други измамни или киберпрестъпни дейности.
Смята се, че приблизително 60 филиала участват в мрежата в различни качества. Някои партньори допринасят за компрометирани уебсайтове, насочвайки цели към TDS инфраструктурата на VexTrio, която след това насочва браузърите на жертвите към вредни страници. TDS обикновено пренасочва лица само ако отговарят на конкретни критерии.
VexTrio начислява такса от лицата, управляващи измамни сайтове за канализиране на уеб трафик по техния начин, като лицата, предоставили компрометираните уебсайтове, също получават дял. Освен това TDS може да насочи потребителите към измамнически уебсайтове, управлявани от самия екип на VexTrio, позволявайки на престъпниците да печелят директно от техните измамни дейности. VexTrio представлява значителен риск за сигурността поради своя широк обхват и сложна настройка.
VexTrio се използва за доставяне на вреден злонамерен софтуер на жертвите
Един щам на зловреден софтуер, разпространяван чрез VexTrio, е SocGholish , известен също като FakeUpdates, и се очертава като един от най-разпространените щамове на зловреден софтуер от началото на 2024 г.
SocGholish, кодиран в JavaScript, обикновено се активира, когато потребител посети компрометиран уебсайт. Той е насочен конкретно към машини с Windows, представяйки се като актуализация на браузъра. Ако е позволено да бъде инсталиран и след това изпълнен от нищо неподозиращия потребител, SocGholish заразява техния компютър със заден злонамерен софтуер, ransomware и други злонамерени компоненти. По-специално, SocGholish е наблюдаван да доставя GootLoader , Dridex , NetSupport , DoppelPaymer и AZORult на машините на жертвите. Зловреден софтуер се приписва на финансово мотивирана група, идентифицирана като TA569 и UNC1543.
Освен това има доказателства, които предполагат, че VexTrio се използва за разпространение на зловреден софтуер ClearFake, който краде информация.
Групите за рансъмуер пожънаха рекордни плащания на откупи от жертви
През 2023 г. киберпрестъпните групи, специализирани в заплахите за рансъмуер, претърпяха значително възраждане, надхвърляйки 1 милиард долара в плащания и сигнализирайки за значително увеличение на мащаба и сложността на техните атаки. Това бележи значително отклонение от наблюдавания спад през 2022 г. Изследователите подчертават, че общата тенденция от 2019 г. до 2023 г. показва постоянен и нарастващ проблем въпреки временното намаляване на плащанията за рансъмуер през 2022 г. Важно е да се отбележи, че отчетената цифра не обхваща пълно икономическо въздействие, включително загуба на производителност и разходи за ремонт, направени от жертвите.
Наистина през 2023 г. се наблюдава значителен скок в честотата, мащаба и обема на атаките на ransomware, организирани от разнообразен набор от участници, включително големи синдикати, по-малки групи и отделни лица. Появата на Initial Access Brokers (IAB) изигра ключова роля в улесняването на тези атаки, като предостави достъп до мрежи, които впоследствие те продадоха на нападателите на ransomware на относително ниска цена.
По отношение на дестинацията за средствата, получени като плащания за откуп, централизираните борси и миксери постоянно са предпочитани за схеми за пране. През 2023 г. обаче се появиха нови услуги, като мостове, незабавни обменници и хазартни услуги, които бързо набраха популярност.
