VexTrio
חוקרי Infosec חשפו יותר מ-70,000 אתרים שנחשבים לגיטימיים שנחטפו ושולבו ברשת המשמשת פושעים להפצת תוכנות זדוניות, אירוח דפי פישינג ושיתוף תוכן לא חוקי אחר. רשת זו, המכונה VexTrio, פעלה בעיקר ללא זיהוי מאז הקמתה ב-2017 או אולי קודם לכן. עם זאת, גילויים אחרונים העלו מידע נוסף על אופי המבצע הזה.
תוכן העניינים
VexTrio הוא מבצע משמעותי שעלול להוביל לבעיות אבטחה חמורות
התהליך בו משתמשים פושעי הסייבר אינו מורכב כל כך, דומה למערכות הפצת התעבורה (TDSes) הנפוצות בתחום השיווק כדי להדריך משתמשי אינטרנט לאתרים ספציפיים על סמך תחומי העניין שלהם או קריטריונים דומים.
בהקשר של VexTrio, עשרות אלפי אתרים נפגעים, ומפנים את המבקרים שלהם לדפים המאפשרים הורדות של תוכנות זדוניות, מציגים ממשקי התחברות מזויפים לגניבת אישורים, או עוסקים בפעילויות הונאה או פליליות סייבר אחרות.
על פי ההערכות, כ-60 שותפים מעורבים ברשת ביכולות שונות. חלק מהשותפים תורמים אתרי אינטרנט שנפגעו, ומכוונים יעדים לתשתית ה-TDS של VexTrio, שמנתבת את הדפדפנים של הקורבנות לעבר דפים מזיקים. ה-TDS בדרך כלל מפנה אנשים רק אם הם עומדים בקריטריונים ספציפיים.
VexTrio גובה עמלה מהאנשים המפעילים אתרי הונאה עבור תיעול תעבורת האינטרנט בדרכם, כאשר גם האנשים שסיפקו את האתרים שנפגעו מקבלים חלק. בנוסף, ה-TDS עשוי להדריך משתמשים לאתרי הונאה המופעלים על ידי צוות VexTrio עצמו, מה שיאפשר לפושעים להרוויח ישירות מפעילויות ההונאה שלהם. VexTrio מהווה סיכון אבטחה משמעותי בשל טווח ההגעה הרחב וההגדרה המתוחכמת שלה.
נעשה שימוש ב-VexTrio כדי להעביר לקורבנות איומי תוכנה זדונית מזיקה
זן תוכנות זדוניות אחד המופץ דרך VexTrio הוא SocGholish , הידוע גם בשם FakeUpdates, והוא התגלה כאחד מזני התוכנה הנפוצים ביותר מאז תחילת 2024.
SocGholish, מקודד ב-JavaScript, מופעל בדרך כלל כאשר משתמש מבקר באתר אינטרנט שנפגע. הוא מכוון במיוחד למכונות Windows, ומציג את עצמו כעדכון דפדפן. אם מותר להתקין אותה ולאחר מכן לביצוע על ידי המשתמש התמים, SocGholish מדביק את המחשב שלו בתוכנות זדוניות בדלת האחורית, תוכנות כופר ורכיבים זדוניים אחרים. יש לציין ש-SocGholish נצפתה מספקת את GootLoader , Dridex , NetSupport , DoppelPaymer ו- AZORult למכונות של הקורבנות. התוכנה הזדונית מיוחסת לקבוצה בעלת מוטיבציה כלכלית שזוהתה כ-TA569 ו-UNC1543.
בנוסף, ישנן עדויות המצביעות על כך ש-VexTrio משמש להפצת תוכנות זדוניות ClearFake גונבות מידע.
קבוצות של תוכנות כופר קטפו תשלומי כופר שיא מקורבנות
בשנת 2023, קבוצות פושעי סייבר המתמחות באיומי תוכנות כופר חוו התעוררות מחודשת, עברו על מיליארד דולר בתשלומים וסימנו על עלייה משמעותית בהיקף ובמורכבות ההתקפות שלהן. זה סימן סטייה משמעותית מהירידה שנצפתה בשנת 2022. חוקרים מדגישים כי המגמה הכוללת מ-2019 עד 2023 מצביעה על בעיה מתמשכת והולכת למרות ירידה זמנית בתשלומי תוכנות הכופר במהלך 2022. חשוב לציין שהנתון המדווח אינו מקיף את השפעה כלכלית מלאה, לרבות אובדן פרודוקטיביות והוצאות תיקון שנגרמו לקורבנות.
ואכן, בשנת 2023 נרשמה עלייה משמעותית בתדירות, בהיקף ובנפח של התקפות כופר המתוזמרות על ידי מגוון רחב של שחקנים, כולל סינדיקטים גדולים, קבוצות קטנות יותר ואינדיבידואלים. הופעתם של Initial Access Brokers (IABs) מילאה תפקיד מפתח בהקלת התקפות אלו על ידי מתן גישה לרשתות, אותן מכרו לאחר מכן לתוקפי תוכנות כופר בעלות נמוכה יחסית.
מבחינת היעד של הכספים שהושגו כתשלומי כופר, בורסות מרכזיות ומיקסרים הועדפו באופן עקבי עבור תוכניות הלבנה. עם זאת, בשנת 2023, צצו שירותים חדשים, כמו גשרים, מחליפים מיידיים ושירותי הימורים, וצברו במהירות אחיזה.
