VexTrio
Infoseci teadlased on avastanud üle 70 000 väidetavalt legitiimse veebisaidi, mis on kaaperdatud ja ühendatud võrku, mida kurjategijad kasutavad pahavara levitamiseks, andmepüügilehtede majutamiseks ja muu ebaseadusliku sisu jagamiseks. See võrk, millele viidatakse kui VexTrio, on tegutsenud peamiselt märkamatult alates selle loomisest 2017. aastal või võib-olla varem. Hiljutised paljastused on aga toonud päevavalgele rohkem teavet selle operatsiooni olemuse kohta.
Sisukord
VexTrio on märkimisväärne operatsioon, mis võib põhjustada tõsiseid turvaprobleeme
Küberkurjategijate kasutatav protsess ei ole nii keeruline, meenutades liikluse jaotussüsteeme (TDS), mida tavaliselt turundusvaldkonnas kasutatakse Interneti-kasutajate suunamiseks konkreetsetele saitidele nende huvide või sarnaste kriteeriumide alusel.
VexTrio kontekstis satuvad kümned tuhanded veebisaidid ohtu, suunates nende külastajad ümber lehtedele, mis hõlbustavad pahavara allalaadimist, kuvavad võltsitud sisselogimisliideseid mandaadivarguste jaoks või osalevad muudes pettustes või küberkuritegevuses.
Arvatakse, et ligikaudu 60 sidusettevõtet on võrgustikuga seotud erinevates võimetes. Mõned partnerid panustavad ohustatud veebisaite, suunates sihtmärgid VexTrio TDS-infrastruktuurile, mis seejärel suunab ohvrite brauserid kahjulikele lehtedele. TDS suunab inimesed tavaliselt ümber ainult siis, kui nad vastavad konkreetsetele kriteeriumidele.
VexTrio võtab petturlikke saite haldavatelt isikutelt veebiliikluse suunamise eest tasu, kusjuures osa saavad ka isikud, kes pakkusid ohustatud veebisaite. Lisaks võib TDS suunata kasutajad VexTrio meeskonna enda hallatavatele kelmuste veebisaitidele, võimaldades kurjategijatel oma petturlikust tegevusest otse kasu saada. VexTrio kujutab endast märkimisväärset turvariski oma laiaulatusliku ulatuse ja keeruka seadistuse tõttu.
VexTriot kasutatakse ohvritele kahjuliku pahavaraohtude edastamiseks
Üks VexTrio kaudu levitatav pahavara tüvi on SocGholish , tuntud ka kui FakeUpdates, ja see on alates 2024. aasta algusest tõusnud üheks levinumaks pahavaratüveks.
JavaScriptis kodeeritud SocGholish aktiveerub tavaliselt siis, kui kasutaja külastab ohustatud veebisaiti. See on suunatud konkreetselt Windowsi masinatele, esitledes end brauseri värskendusena. Kui pahaaimamatu kasutaja lubab selle installida ja seejärel käivitada, nakatab SocGholish nende arvuti tagaukse pahavara, lunavara ja muude pahatahtlike komponentidega. Eelkõige on täheldatud, et SocGholish edastab ohvrite masinatesse GootLoader , Dridex , NetSupport , DoppelPaymer ja AZORult . Pahavara on omistatud rahaliselt motiveeritud rühmale, mille nimed on TA569 ja UNC1543.
Lisaks on tõendeid selle kohta, et VexTriot kasutatakse teabevarastava ClearFake pahavara levitamiseks.
Lunavaragrupid kogusid ohvritelt rekordiliselt lunarahamakseid
2023. aastal kogesid lunavaraohtudele spetsialiseerunud küberkurjategijate rühmitused märkimisväärset taastumist, ületades 1 miljardi dollari makseid ja andes märku nende rünnakute ulatuse ja keerukuse olulisest tõusust. See tähistas olulist kõrvalekallet 2022. aasta täheldatud langusest. Teadlased rõhutavad, et üldine suundumus aastatel 2019–2023 viitab püsivale ja kasvavale probleemile vaatamata lunavaramaksete ajutisele vähenemisele 2022. aastal. Oluline on märkida, et esitatud arv ei hõlma täielik majanduslik mõju, sealhulgas tootlikkuse vähenemine ja kannatanute remondikulud.
Tõepoolest, 2023. aastal suurenes märkimisväärselt erinevate osalejate, sealhulgas suurte sündikaatide, väiksemate rühmade ja üksikisikute korraldatud lunavararünnakute sagedus, ulatus ja maht. Esialgsete juurdepääsuvahendajate (IAB) esilekerkimine mängis nende rünnakute hõlbustamisel võtmerolli, pakkudes juurdepääsu võrkudele, mille nad seejärel suhteliselt madala hinnaga lunavararündajatele müüsid.
Lunarahana saadud vahendite sihtkoha osas on tsentraliseeritud börse ja segajaid järjekindlalt eelistatud pesuskeemidele. 2023. aastal ilmusid aga uued teenused, nagu sillad, kiirvahetajad ja hasartmänguteenused, mis said kiiresti tuntuks.
