VexTrio
Badacze Infosec odkryli ponad 70 000 witryn internetowych uznawanych za legalne, które zostały przejęte i włączone do sieci wykorzystywanej przez przestępców do rozpowszechniania złośliwego oprogramowania, hostowania stron phishingowych i udostępniania innych nielegalnych treści. Sieć ta, określana jako VexTrio, od czasu jej powstania w 2017 r. lub prawdopodobnie wcześniej działała przeważnie niewykryta. Jednak ostatnie doniesienia wydobyły na światło dzienne więcej informacji na temat natury tej operacji.
Spis treści
VexTrio to poważna operacja, która może prowadzić do poważnych problemów związanych z bezpieczeństwem
Proces stosowany przez cyberprzestępców nie jest aż tak skomplikowany i przypomina systemy dystrybucji ruchu (TDS), powszechnie stosowane w marketingu, aby kierować użytkowników Internetu do określonych witryn w oparciu o ich zainteresowania lub podobne kryteria.
W kontekście VexTrio dziesiątki tysięcy witryn internetowych zostaje naruszonych, przekierowując odwiedzających do stron ułatwiających pobieranie złośliwego oprogramowania, wyświetlających fałszywe interfejsy logowania w celu kradzieży danych uwierzytelniających lub angażujących się w inne oszukańcze lub cyberprzestępcze działania.
Uważa się, że w sieci działa około 60 podmiotów stowarzyszonych, pełniących różne funkcje. Niektórzy partnerzy udostępniają zainfekowane strony internetowe, kierując cele do infrastruktury TDS VexTrio, która następnie kieruje przeglądarki ofiar w stronę szkodliwych stron. TDS zazwyczaj przekierowuje osoby tylko wtedy, gdy spełniają one określone kryteria.
VexTrio pobiera opłatę od osób obsługujących fałszywe witryny za kierowanie ruchu sieciowego na ich stronę, a osoby, które udostępniły zainfekowane witryny, również otrzymują część tej opłaty. Dodatkowo TDS może kierować użytkowników do oszukańczych witryn internetowych obsługiwanych przez samą załogę VexTrio, umożliwiając przestępcom bezpośrednie czerpanie zysków z ich oszukańczych działań. VexTrio stwarza poważne ryzyko bezpieczeństwa ze względu na duży zasięg i wyrafinowaną konfigurację.
VexTrio jest wykorzystywane do dostarczania ofiarom szkodliwego oprogramowania
Jedną ze odmian szkodliwego oprogramowania dystrybuowaną za pośrednictwem VexTrio jest SocGholish , znany również jako FakeUpdates, który od początku 2024 roku stał się jedną z najpowszechniejszych odmian złośliwego oprogramowania.
SocGholish, zakodowany w JavaScript, zazwyczaj aktywuje się, gdy użytkownik odwiedza zaatakowaną witrynę internetową. W szczególności atakuje komputery z systemem Windows i przedstawia się jako aktualizacja przeglądarki. Jeśli niczego niepodejrzewający użytkownik pozwoli na jego zainstalowanie, a następnie uruchomienie, SocGholish infekuje jego komputer złośliwym oprogramowaniem typu backdoor, oprogramowaniem ransomware i innymi złośliwymi komponentami. Warto zauważyć, że zaobserwowano, że SocGholish dostarczał GootLoader , Dridex , NetSupport , DoppelPaymer i AZORult na maszyny ofiar. Szkodnik przypisuje się grupie motywowanej finansowo, zidentyfikowanej jako TA569 i UNC1543.
Ponadto istnieją dowody sugerujące, że VexTrio jest wykorzystywane do dystrybucji szkodliwego oprogramowania ClearFake kradnącego informacje.
Grupy zajmujące się oprogramowaniem ransomware zebrały rekordowe kwoty okupów od ofiar
W 2023 r. grupy cyberprzestępcze specjalizujące się w zagrożeniach związanych z oprogramowaniem ransomware doświadczyły znacznego odrodzenia się, przekraczając kwotę płatności przekraczającą 1 miliard dolarów, co sygnalizowało znaczny wzrost skali i złożoności ich ataków. Oznaczało to znaczące odejście od spadku obserwowanego w 2022 r. Badacze podkreślają, że ogólna tendencja od 2019 r. do 2023 r. wskazuje na utrzymujący się i narastający problem pomimo tymczasowego spadku płatności za oprogramowanie ransomware w 2022 r. Należy zauważyć, że podane liczby nie obejmują pełny wpływ ekonomiczny, w tym spadek produktywności i koszty napraw poniesione przez ofiary.
Rzeczywiście, w 2023 r. nastąpił znaczny wzrost częstotliwości, skali i wolumenu ataków oprogramowania ransomware zorganizowanych przez różnorodne podmioty, w tym duże syndykaty, mniejsze grupy i pojedyncze osoby. Pojawienie się brokerów początkowego dostępu (IAB) odegrało kluczową rolę w ułatwieniu tych ataków, zapewniając dostęp do sieci, które następnie sprzedawali osobom atakującym oprogramowaniem ransomware po stosunkowo niskich kosztach.
Jeśli chodzi o przeznaczenie środków uzyskanych w ramach płatności okupu, w programach prania pieniędzy niezmiennie preferowane są scentralizowane giełdy i miksery. Jednak w 2023 r. pojawiły się nowe usługi, takie jak mosty, natychmiastowe wymiany walut i usługi hazardowe, które szybko zyskały na popularności.
