VexTrio

محققان Infosec بیش از 70000 وب‌سایت را کشف کرده‌اند که گمان می‌رود قانونی هستند که ربوده شده و در شبکه‌ای قرار گرفته‌اند که توسط مجرمان برای انتشار بدافزارها، میزبانی صفحات فیشینگ و اشتراک‌گذاری محتوای غیرقانونی دیگر استفاده می‌شود. این شبکه که به آن VexTrio گفته می‌شود، عمدتاً از زمان تأسیس آن در سال 2017 یا احتمالاً قبل از آن، به‌طور ناشناخته عمل کرده است. با این حال، افشاگری های اخیر اطلاعات بیشتری را در مورد ماهیت این عملیات به نمایش گذاشته است.

VexTrio یک عملیات قابل توجه است که می تواند منجر به مشکلات امنیتی شدید شود

فرآیند استفاده شده توسط مجرمان سایبری چندان پیچیده نیست و شبیه سیستم های توزیع ترافیک (TDS) است که معمولاً در حوزه بازاریابی برای هدایت کاربران اینترنتی به سایت های خاص بر اساس علایق یا معیارهای مشابه استفاده می شود.

در زمینه VexTrio، ده‌ها هزار وب‌سایت در معرض خطر قرار می‌گیرند و بازدیدکنندگان خود را به صفحاتی هدایت می‌کنند که دانلود بدافزار را تسهیل می‌کنند، رابط‌های ورود تقلبی را برای سرقت اطلاعات نشان می‌دهند، یا درگیر سایر فعالیت‌های کلاهبرداری یا مجرمانه سایبری می‌شوند.

تخمین زده می شود که حدود 60 شرکت وابسته در ظرفیت های مختلف در شبکه درگیر هستند. برخی از شرکا به وب‌سایت‌های آسیب‌دیده کمک می‌کنند و اهداف را به زیرساخت TDS VexTrio هدایت می‌کنند، که سپس مرورگرهای قربانیان را به سمت صفحات مضر هدایت می‌کند. TDS معمولاً افراد را تنها در صورتی هدایت می کند که معیارهای خاصی را داشته باشند.

VexTrio از افرادی که سایت‌های کلاهبردار را اداره می‌کنند برای هدایت ترافیک وب در مسیر خود هزینه‌ای دریافت می‌کند و افرادی که وب‌سایت‌های در معرض خطر را ارائه می‌کنند نیز سهمی دریافت می‌کنند. علاوه بر این، TDS ممکن است کاربران را به سمت وب سایت های کلاهبرداری هدایت کند که توسط خود خدمه VexTrio اداره می شود و به مجرمان اجازه می دهد مستقیماً از فعالیت های کلاهبرداری خود سود ببرند. VexTrio به دلیل دسترسی گسترده و راه اندازی پیچیده، خطر امنیتی قابل توجهی دارد.

VexTrio برای رساندن تهدیدات بدافزار مضر به قربانیان استفاده می شود

یکی از گونه‌های بدافزار توزیع شده از طریق VexTrio، SocGholish است که با نام FakeUpdates نیز شناخته می‌شود، و از ابتدای سال 2024 به عنوان یکی از رایج‌ترین گونه‌های بدافزار ظاهر شده است.

SocGholish، کدگذاری شده در جاوا اسکریپت، معمولاً زمانی فعال می شود که کاربر از یک وب سایت در معرض خطر بازدید می کند. این به طور خاص ماشین های ویندوز را هدف قرار می دهد و خود را به عنوان یک به روز رسانی مرورگر معرفی می کند. اگر اجازه نصب و اجرای آن توسط کاربر ناآگاه داده شود، SocGholish رایانه شخصی آنها را با بدافزارهای پشتی، باج افزار و سایر اجزای مخرب آلوده می کند. قابل ذکر است که SocGholish مشاهده شده است که GootLoader ، Dridex ، NetSupport ، DoppelPaymer و AZORult را بر روی ماشین های قربانیان تحویل می دهد. این بدافزار به گروهی با انگیزه مالی با نام های TA569 و UNC1543 نسبت داده می شود.

علاوه بر این، شواهدی وجود دارد که نشان می‌دهد VexTrio برای توزیع بدافزار ClearFake سرقت اطلاعات استفاده می‌شود.

گروه‌های باج‌افزاری رکورد پرداخت‌های باج از قربانیان را دریافت کردند

در سال 2023، گروه‌های مجرم سایبری متخصص در تهدیدات باج‌افزار، تجدید حیات قابل‌توجهی را تجربه کردند، بیش از 1 میلیارد دلار در پرداخت‌ها و نشانه‌ای از افزایش قابل‌توجه در مقیاس و پیچیدگی حملاتشان. این نشان دهنده انحراف قابل توجهی از کاهش مشاهده شده در سال 2022 است. محققان تاکید می کنند که روند کلی از سال 2019 تا 2023 نشان دهنده یک مشکل مداوم و رو به رشد علیرغم کاهش موقت پرداخت های باج افزار در طول سال 2022 است. ذکر این نکته ضروری است که رقم گزارش شده شامل این رقم نمی شود. تاثیر کامل اقتصادی، از جمله کاهش بهره وری و هزینه های تعمیر متحمل شده توسط قربانیان.

در واقع، سال 2023 شاهد افزایش قابل توجهی در فراوانی، مقیاس و حجم حملات باج‌افزاری بود که توسط طیف متنوعی از بازیگران، از جمله سندیکاهای بزرگ، گروه‌های کوچکتر و افراد سازماندهی شده بودند. ظهور Initial Access Brokers (IABs) نقشی کلیدی در تسهیل این حملات با فراهم کردن دسترسی به شبکه‌ها داشت که متعاقباً آن‌ها را با هزینه نسبتاً کم به مهاجمان باج‌افزار فروختند.

از نظر مقصد وجوهی که به عنوان پرداخت باج به دست می‌آید، صرافی‌های متمرکز و میکسرها همواره برای طرح‌های شویی مورد توجه قرار گرفته‌اند. با این حال، در سال 2023، خدمات جدیدی مانند پل ها، مبدل های فوری و خدمات قمار ظهور کردند و به سرعت مورد توجه قرار گرفتند.