VexTrio
Infosec-forskere har avdekket over 70 000 nettsteder som antas å være legitime som har blitt kapret og innlemmet i et nettverk brukt av kriminelle for å spre skadelig programvare, hoste phishing-sider og dele annet ulovlig innhold. Dette nettverket, referert til som VexTrio, har primært operert uoppdaget siden etableringen i 2017 eller muligens tidligere. Nylige avsløringer har imidlertid brakt frem mer informasjon om arten av denne operasjonen.
Innholdsfortegnelse
VexTrio er en betydelig operasjon som kan føre til alvorlige sikkerhetsproblemer
Prosessen som brukes av nettkriminelle er ikke så kompleks, og ligner trafikkdistribusjonssystemene (TDS) som vanligvis brukes i markedsføringsområdet for å veilede internettbrukere til spesifikke nettsteder basert på deres interesser eller lignende kriterier.
I forbindelse med VexTrio blir titusenvis av nettsteder kompromittert, og omdirigerer besøkende til sider som muliggjør nedlasting av skadelig programvare, viser falske påloggingsgrensesnitt for legitimasjonstyveri eller deltar i andre uredelige eller cyberkriminelle aktiviteter.
Omtrent 60 tilknyttede selskaper antas å være involvert i nettverket i ulike kapasiteter. Noen partnere bidrar med kompromitterte nettsteder, og dirigerer mål til VexTrios TDS-infrastruktur, som deretter styrer ofrenes nettlesere mot skadelige sider. TDS omdirigerer vanligvis enkeltpersoner bare hvis de oppfyller spesifikke kriterier.
VexTrio krever et gebyr fra individene som driver uredelige nettsteder for å kanalisere nettrafikk deres vei, med individene som leverte de kompromitterte nettstedene som også mottar en del. I tillegg kan TDS veilede brukere til svindelnettsteder som drives av VexTrio-mannskapet selv, slik at kriminelle kan tjene direkte på deres uredelige aktiviteter. VexTrio utgjør en betydelig sikkerhetsrisiko på grunn av sin omfattende rekkevidde og sofistikerte oppsett.
VexTrio blir brukt til å levere skadelig skadelig programvare til ofre
En malware-stamme distribuert gjennom VexTrio er SocGholish , også kjent som FakeUpdates, og den har dukket opp som en av de mest utbredte malware-stammene siden begynnelsen av 2024.
SocGholish, kodet i JavaScript, aktiveres vanligvis når en bruker besøker et kompromittert nettsted. Den er spesifikt rettet mot Windows-maskiner, og presenterer seg selv som en nettleseroppdatering. Hvis den tillates å installeres og deretter utføres av den intetanende brukeren, infiserer SocGholish PC-en deres med bakdørs malware, løsepengeprogramvare og andre ondsinnede komponenter. Spesielt har SocGholish blitt observert å levere GootLoader , Dridex , NetSupport , DoppelPaymer og AZORult til ofrenes maskiner. Skadevaren tilskrives en økonomisk motivert gruppe identifisert som TA569 og UNC1543.
I tillegg er det bevis som tyder på at VexTrio brukes til å distribuere den informasjonsstjelende ClearFake malware.
Ransomware-grupper høstet rekordutbetalinger av løsepenger fra ofre
I 2023 opplevde nettkriminelle grupper som spesialiserte seg på løsepengevaretrusler en bemerkelsesverdig gjenoppblomstring, som oversteg 1 milliard dollar i betalinger og signaliserte en betydelig økning i omfanget og kompleksiteten til angrepene deres. Dette markerte en betydelig avvik fra den observerte nedgangen i 2022. Forskere fremhever at den generelle trenden fra 2019 til 2023 indikerer et vedvarende og økende problem til tross for en midlertidig nedgang i løsepengevarebetalinger i løpet av 2022. Det er viktig å merke seg at det rapporterte tallet ikke omfatter full økonomisk innvirkning, inkludert produktivitetstap og reparasjonsutgifter påført av ofre.
I 2023 så en betydelig økning i frekvensen, omfanget og volumet av løsepengevareangrep orkestrert av en rekke aktører, inkludert store syndikater, mindre grupper og enkeltpersoner. Fremveksten av Initial Access Brokers (IAB) spilte en nøkkelrolle i å tilrettelegge for disse angrepene ved å gi tilgang til nettverk, som de deretter solgte til løsepengeangripere til en relativt lav kostnad.
Når det gjelder destinasjonen for midlene oppnådd som løsepenger, har sentraliserte børser og miksere konsekvent blitt favorisert for hvitvaskingsordninger. Men i 2023 dukket det opp nye tjenester, som broer, instant exchangers og gamblingtjenester, som raskt fikk gjennomslag.
