VexTrio
I ricercatori di Infosec hanno scoperto oltre 70.000 siti Web ritenuti legittimi che sono stati dirottati e incorporati in una rete utilizzata dai criminali per diffondere malware, ospitare pagine di phishing e condividere altri contenuti illeciti. Questa rete, denominata VexTrio, ha operato principalmente inosservata sin dalla sua creazione nel 2017 o forse prima. Tuttavia, recenti rivelazioni hanno portato alla luce maggiori informazioni sulla natura di questa operazione.
Sommario
VexTrio è un'operazione considerevole che potrebbe portare a gravi problemi di sicurezza
Il processo utilizzato dai criminali informatici non è così complesso e assomiglia ai sistemi di distribuzione del traffico (TDS) comunemente utilizzati nel campo del marketing per guidare gli utenti di Internet verso siti specifici in base ai loro interessi o criteri simili.
Nel contesto di VexTrio, decine di migliaia di siti Web vengono compromessi, reindirizzando i visitatori a pagine che facilitano il download di malware, visualizzano interfacce di accesso contraffatte per il furto di credenziali o si impegnano in altre attività fraudolente o criminali informatici.
Si ritiene che circa 60 affiliati siano coinvolti nella rete a vario titolo. Alcuni partner contribuiscono con siti Web compromessi, indirizzando gli obiettivi all'infrastruttura TDS di VexTrio, che poi indirizza i browser delle vittime verso pagine dannose. Il TDS in genere reindirizza gli individui solo se soddisfano criteri specifici.
VexTrio addebita una commissione alle persone che gestiscono siti fraudolenti per incanalare il traffico Web a modo loro, e anche le persone che hanno fornito i siti Web compromessi ricevono una quota. Inoltre, il TDS può guidare gli utenti verso siti web truffa gestiti dallo stesso gruppo VexTrio, consentendo ai criminali di trarre profitto direttamente dalle loro attività fraudolente. VexTrio rappresenta un rischio significativo per la sicurezza a causa della sua vasta portata e della sua configurazione sofisticata.
VexTrio viene utilizzato per fornire minacce malware dannose alle vittime
Un ceppo di malware distribuito tramite VexTrio è SocGholish , noto anche come FakeUpdates, ed è emerso come uno dei ceppi di malware più diffusi dall'inizio del 2024.
SocGholish, codificato in JavaScript, in genere si attiva quando un utente visita un sito Web compromesso. Si rivolge specificamente alle macchine Windows, presentandosi come un aggiornamento del browser. Se l'utente ignaro ne consente l'installazione e quindi l'esecuzione, SocGholish infetta il proprio PC con malware backdoor, ransomware e altri componenti dannosi. In particolare, è stato osservato che SocGholish distribuisce GootLoader , Dridex , NetSupport , DoppelPaymer e AZORult sui computer delle vittime. Il malware è attribuito a un gruppo motivato finanziariamente identificato come TA569 e UNC1543.
Inoltre, ci sono prove che suggeriscono che VexTrio venga utilizzato per distribuire il malware ClearFake che ruba informazioni.
Gruppi di ransomware hanno raccolto pagamenti di riscatto record da parte delle vittime
Nel 2023, i gruppi di criminali informatici specializzati in minacce ransomware hanno registrato una notevole ripresa, superando il miliardo di dollari in pagamenti e segnalando un aumento sostanziale della portata e della complessità dei loro attacchi. Ciò ha segnato un significativo allontanamento dal calo osservato nel 2022. I ricercatori sottolineano che la tendenza generale dal 2019 al 2023 indica un problema persistente e crescente nonostante una diminuzione temporanea dei pagamenti di ransomware durante il 2022. È essenziale notare che la cifra riportata non comprende il impatto economico completo, compresa la perdita di produttività e le spese di riparazione sostenute dalle vittime.
In effetti, il 2023 ha visto un aumento significativo della frequenza, della portata e del volume degli attacchi ransomware orchestrati da una vasta gamma di attori, tra cui grandi sindacati, gruppi più piccoli e singoli individui. L’emergere degli IAB (Initial Access Brokers) ha svolto un ruolo chiave nel facilitare questi attacchi fornendo l’accesso alle reti, che hanno successivamente venduto agli aggressori di ransomware a un costo relativamente basso.
In termini di destinazione dei fondi ottenuti come riscatto, gli scambi centralizzati e i mixer sono stati costantemente favoriti per i programmi di riciclaggio. Tuttavia, nel 2023, sono emersi nuovi servizi, come bridge, scambi istantanei e servizi di gioco d’azzardo, che hanno rapidamente guadagnato terreno.
