VexTrio
Az Infosec kutatói több mint 70 000 legálisnak vélt webhelyet tártak fel, amelyeket eltérítettek és beépítettek egy olyan hálózatba, amelyet a bűnözők rosszindulatú programok terjesztésére, adathalász oldalak tárolására és egyéb tiltott tartalmak megosztására használtak. Ez a VexTrio néven emlegetett hálózat 2017-es megalapítása óta, vagy esetleg korábban, elsősorban észrevétlenül működik. A közelmúltbeli feltárások azonban több információt hoztak napvilágra ennek a műveletnek a természetéről.
Tartalomjegyzék
A VexTrio jelentős művelet, amely súlyos biztonsági problémákhoz vezethet
A kiberbűnözők által alkalmazott folyamat nem olyan bonyolult, hasonlít a marketing területén általánosan használt forgalomelosztó rendszerekre (TDS-ek), amelyek az internetezőket érdeklődési körük vagy hasonló kritériumok alapján meghatározott oldalakra irányítják.
A VexTrio kontextusában webhelyek tízezrei kerülnek veszélybe, és látogatóikat olyan oldalakra irányítják át, amelyek elősegítik a rosszindulatú programok letöltését, hamisított bejelentkezési felületeket jelenítenek meg a hitelesítő adatok ellopásához, vagy más csalárd vagy kiberbűnöző tevékenységet folytatnak.
A feltételezések szerint hozzávetőleg 60 leányvállalat vesz részt a hálózatban különböző minőségben. Egyes partnerek kompromittált webhelyekkel járulnak hozzá, célpontokat irányítva a VexTrio TDS-infrastruktúrájára, amely aztán a káros oldalak felé irányítja az áldozatok böngészőit. A TDS általában csak akkor irányítja át az egyéneket, ha megfelelnek bizonyos feltételeknek.
A VexTrio díjat számít fel a csalárd oldalakat üzemeltető személyektől a webes forgalom saját útjukba tereléséért, és a feltört webhelyeket biztosító személyek is kapnak részesedést. Ezenkívül a TDS elvezetheti a felhasználókat a VexTrio legénysége által üzemeltetett átverési webhelyekre, lehetővé téve a bűnözők számára, hogy közvetlenül hasznot húzzanak csaló tevékenységeikből. A VexTrio jelentős biztonsági kockázatot jelent kiterjedt hatókörének és kifinomult beállításának köszönhetően.
A VexTrio-t arra használják, hogy ártalmas rosszindulatú programokat fenyegessenek az áldozatoknak
A VexTrio-n keresztül terjesztett egyik rosszindulatú programtörzs a SocGholish , más néven FakeUpdates, és 2024 eleje óta az egyik legelterjedtebb rosszindulatú programtörzs lett.
A JavaScriptben kódolt SocGholish általában akkor aktiválódik, amikor a felhasználó feltört webhelyet keres fel. Kifejezetten a Windows-os gépeket célozza meg, böngészőfrissítésként mutatja be magát. Ha engedélyezi a telepítést, majd a gyanútlan felhasználó általi végrehajtást, a SocGholish megfertőzi a számítógépét hátsó ajtóban működő kártevőkkel, zsarolóprogramokkal és egyéb rosszindulatú összetevőkkel. Figyelemre méltó, hogy a SocGholish GootLoader-t , Dridex-et , NetSupport-ot , DoppelPaymer- t és AZORult-t szállított az áldozatok gépeire. A rosszindulatú program egy pénzügyileg motivált csoportnak tulajdonítható, amelyet TA569 és UNC1543 néven azonosítottak.
Ezenkívül bizonyítékok utalnak arra, hogy a VexTrio-t az információlopó ClearFake kártevő terjesztésére használják.
A Ransomware-csoportok rekordot gyűjtöttek be az áldozatoktól
2023-ban a ransomware-fenyegetésekre szakosodott kiberbűnözői csoportok figyelemreméltó újjáéledést tapasztaltak, meghaladva az 1 milliárd dollárnyi kifizetést, és jelentős növekedést jeleztek támadásaik méretében és összetettségében. Ez jelentős eltérést jelent a 2022-ben megfigyelt visszaeséshez képest. A kutatók kiemelik, hogy a 2019-től 2023-ig tartó általános tendencia tartós és növekvő problémát jelez annak ellenére, hogy 2022-ben átmenetileg csökkent a zsarolóprogramokkal kapcsolatos kifizetések száma. Fontos megjegyezni, hogy a jelentett szám nem tartalmazza a teljes gazdasági hatás, beleértve a termelékenységcsökkenést és az áldozatok javítási költségeit.
Valójában 2023-ban jelentősen megugrott a különböző szereplők – köztük nagy szindikátusok, kisebb csoportok és egyének – által szervezett ransomware támadások gyakorisága, mértéke és mennyisége. Az Initial Access Brokers (IAB) megjelenése kulcsszerepet játszott e támadások elősegítésében azáltal, hogy hozzáférést biztosítottak a hálózatokhoz, amelyeket később viszonylag alacsony áron értékesítettek ransomware támadóknak.
A váltságdíjként megszerzett pénzeszközök rendeltetési helye tekintetében a központosított tőzsdéket és keverőket folyamatosan előnyben részesítették a pénzmosási konstrukcióknál. 2023-ban azonban új szolgáltatások jelentek meg, mint például a hidak, az azonnali pénzváltók és a szerencsejáték-szolgáltatások, amelyek gyorsan elterjedtek.
