VexTrio
Os pesquisadores de Infosec descobriram mais de 70.000 sites considerados legítimos que foram sequestrados e incorporados a uma rede utilizada por criminosos para disseminar malware, hospedar páginas de phishing e compartilhar outros conteúdos ilícitos. Esta rede, conhecida como VexTrio, tem operado principalmente sem ser detectada desde a sua criação em 2017 ou possivelmente antes. No entanto, revelações recentes trouxeram à luz mais informações sobre a natureza desta operação.
Índice
O VexTrio é uma Operação Considerável que pode Levar a Graves Problemas de Segurança
O processo utilizado pelos cibercriminosos não é tão complexo, lembrando os Sistemas de Distribuição de Tráfego (TDSes) comumente usados na área de marketing para orientar os usuários da Internet a sites específicos com base em seus interesses ou critérios semelhantes.
No contexto do VexTrio, dezenas de milhares de sites são comprometidos, redirecionando seus visitantes para páginas que facilitam downloads de malware, exibem interfaces de login falsificadas para roubo de credenciais ou se envolvem em outras atividades fraudulentas ou cibercriminosas.
Acredita-se que aproximadamente 60 afiliados estejam envolvidos na rede em diversas capacidades. Alguns parceiros contribuem com sites comprometidos, direcionando os alvos para a infraestrutura TDS da VexTrio, que então direciona os navegadores das vítimas para páginas prejudiciais. O TDS normalmente redireciona indivíduos apenas se eles atenderem a critérios específicos.
A VexTrio cobra uma taxa dos indivíduos que operam sites fraudulentos para canalizar o tráfego da Web em sua direção, e os indivíduos que forneceram os sites comprometidos também recebem uma parte. Além disso, o TDS pode orientar os usuários a sites fraudulentos operados pela própria equipe do VexTrio, permitindo que os criminosos lucrem diretamente com suas atividades fraudulentas. O VexTrio representa um risco de segurança significativo devido ao seu amplo alcance e configuração sofisticada.
O VexTrio está sendo Usado para Entregar Ameaças de Malware Prejudiciais às Vítimas
Uma cepa de malware distribuída por meio do VexTrio é o SocGholish, também conhecido como FakeUpdates, e emergiu como uma das cepas de malware mais prevalentes desde o início de 2024.
O SocGholish, codificado em JavaScript, normalmente é ativado quando um usuário visita um site comprometido. Ele tem como alvo específico máquinas Windows, apresentando-se como uma atualização do navegador. Se for permitido que seja instalado e executado pelo usuário desavisado, o SocGholish infecta seu PC com malware backdoor, ransomware e outros componentes maliciosos. Notavelmente, foi observado que SocGholish entrega GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult nas máquinas das vítimas. O malware é atribuído a um grupo com motivação financeira identificado como TA569 e UNC1543.
Além disso, há evidências que sugerem que o VexTrio é usado para distribuir o malware ClearFake, que rouba informações.
Os Grupos de Ransomware Obtiveram Pagamentos Recordes de Resgate das Vtimas
Em 2023, os grupos cibercriminosos especializados em ameaças de ransomware registaram um ressurgimento notável, ultrapassando mil milhões de dólares em pagamentos e sinalizando um aumento substancial na escala e complexidade dos seus ataques. Isto marcou um afastamento significativo do declínio observado em 2022. Os investigadores destacam que a tendência geral de 2019 a 2023 indica um problema persistente e crescente, apesar de uma diminuição temporária nos pagamentos de ransomware durante 2022. É essencial notar que o número relatado não abrange o impacto económico total, incluindo perda de produtividade e despesas de reparação incorridas pelas vítimas.
Na verdade, em 2023 assistiu-se a um aumento significativo na frequência, escala e volume de ataques de ransomware orquestrados por uma gama diversificada de intervenientes, incluindo grandes sindicatos, grupos mais pequenos e indivíduos. O surgimento dos Initial Access Brokers (IABs) desempenhou um papel fundamental na facilitação destes ataques, fornecendo acesso a redes, que posteriormente venderam a atacantes de ransomware a um custo relativamente baixo.
Em termos do destino dos fundos obtidos como pagamentos de resgate, as bolsas centralizadas e os misturadores têm sido consistentemente favorecidos para esquemas de branqueamento de capitais. No entanto, em 2023, novos serviços, como pontes, trocadores instantâneos e serviços de jogos de azar, surgiram e rapidamente ganharam força.
