VexTrio
Cercetătorii Infosec au descoperit peste 70.000 de site-uri web considerate a fi legitime care au fost deturnate și încorporate într-o rețea folosită de criminali pentru diseminarea de malware, găzduirea paginilor de phishing și partajarea altor conținut ilicit. Această rețea, denumită VexTrio, a funcționat în principal nedetectată de la înființarea sa în 2017 sau, eventual, mai devreme. Cu toate acestea, dezvăluirile recente au scos la iveală mai multe informații despre natura acestei operațiuni.
Cuprins
VexTrio este o operațiune considerabilă care ar putea duce la probleme grave de securitate
Procesul utilizat de infractorii cibernetici nu este atât de complex, asemănător cu sistemele de distribuție a traficului (TDS) utilizate în mod obișnuit în domeniul marketingului pentru a ghida utilizatorii de internet către anumite site-uri pe baza intereselor lor sau a unor criterii similare.
În contextul VexTrio, zeci de mii de site-uri web sunt compromise, redirecționându-și vizitatorii către pagini care facilitează descărcările de programe malware, afișează interfețe de conectare contrafăcute pentru furtul de acreditări sau se angajează în alte activități frauduloase sau criminale cibernetice.
Se crede că aproximativ 60 de afiliați sunt implicați în rețea în diferite capacități. Unii parteneri contribuie cu site-uri web compromise, direcționând ținte către infrastructura TDS a VexTrio, care apoi orientează browserele victimelor către pagini dăunătoare. TDS redirecționează de obicei persoanele numai dacă îndeplinesc anumite criterii.
VexTrio percepe o taxă de la persoanele care operează site-uri frauduloase pentru a canaliza traficul web în calea lor, persoanele care au furnizat site-urile web compromise primind și o cotă. În plus, TDS poate ghida utilizatorii către site-uri web înșelătorie operate de echipa VexTrio însuși, permițând infractorilor să profite direct din activitățile lor frauduloase. VexTrio prezintă un risc semnificativ de securitate datorită acoperirii sale extinse și configurației sofisticate.
VexTrio este folosit pentru a furniza victimelor amenințări malware dăunătoare
O tulpină de malware distribuită prin VexTrio este SocGholish , cunoscută și sub numele de FakeUpdates, și a devenit una dintre cele mai răspândite tulpini de malware de la începutul anului 2024.
SocGholish, codificat în JavaScript, se activează de obicei atunci când un utilizator vizitează un site web compromis. Vizează în mod special mașinile Windows, prezentându-se ca o actualizare a browserului. Dacă este permis să fie instalat și apoi executat de către utilizatorul care nu bănuiește, SocGholish își infectează computerul cu malware backdoor, ransomware și alte componente rău intenționate. În special, s-a observat că SocGholish livrează GootLoader , Dridex , NetSupport , DoppelPaymer și AZORult pe mașinile victimelor. Malware-ul este atribuit unui grup motivat financiar identificat ca TA569 și UNC1543.
În plus, există dovezi care sugerează că VexTrio este utilizat pentru a distribui malware-ul ClearFake, care fură informații.
Grupurile de ransomware au obținut plăți record de răscumpărare de la victime
În 2023, grupurile infracționale cibernetice specializate în amenințări de tip ransomware au cunoscut o renaștere notabilă, depășind plăți de un miliard de dolari și semnalând o creștere substanțială a amplorii și complexității atacurilor lor. Aceasta a marcat o abatere semnificativă față de scăderea observată în 2022. Cercetătorii subliniază că tendința generală din 2019 până în 2023 indică o problemă persistentă și în creștere, în ciuda unei scăderi temporare a plăților pentru ransomware în 2022. Este esențial să rețineți că cifra raportată nu include impactul economic deplin, inclusiv pierderea productivității și cheltuielile de reparații suportate de victime.
Într-adevăr, 2023 a înregistrat o creștere semnificativă a frecvenței, amplorii și volumului atacurilor ransomware orchestrate de o gamă diversă de actori, inclusiv sindicate mari, grupuri mai mici și indivizi. Apariția brokerilor de acces inițial (IAB) a jucat un rol cheie în facilitarea acestor atacuri, oferind acces la rețele, pe care ulterior le-au vândut atacatorilor de ransomware la un cost relativ scăzut.
În ceea ce privește destinația fondurilor obținute ca plăți de răscumpărare, schimburile centralizate și mixerele au fost în mod constant favorizate pentru schemele de spălare. Cu toate acestea, în 2023, noi servicii, cum ar fi poduri, schimbătoare instant și servicii de jocuri de noroc, au apărut și au câștigat rapid acțiune.
