VexTrio
Исследователи Infosec обнаружили более 70 000 веб-сайтов, считающихся законными, которые были взломаны и включены в сеть, используемую преступниками для распространения вредоносного ПО, размещения фишинговых страниц и обмена другим незаконным контентом. Эта сеть, получившая название VexTrio, в основном работала незамеченной с момента ее создания в 2017 году или, возможно, раньше. Однако недавние разоблачения пролили больше информации о природе этой операции.
Оглавление
VexTrio — серьезная операция, которая может привести к серьезным проблемам с безопасностью
Процесс, используемый киберпреступниками, не так уж сложен и напоминает системы распределения трафика (TDS), обычно используемые в сфере маркетинга для направления интернет-пользователей на определенные сайты на основе их интересов или аналогичных критериев.
В контексте VexTrio десятки тысяч веб-сайтов подвергаются взлому, перенаправляя своих посетителей на страницы, которые способствуют загрузке вредоносного ПО, отображают поддельные интерфейсы входа в систему для кражи учетных данных или участвуют в других мошеннических или киберпреступных действиях.
Предполагается, что около 60 филиалов участвуют в сети на различных должностях. Некоторые партнеры предоставляют скомпрометированные веб-сайты, направляя цели в инфраструктуру TDS VexTrio, которая затем направляет браузеры жертв на вредоносные страницы. TDS обычно перенаправляет людей только в том случае, если они соответствуют определенным критериям.
VexTrio взимает комиссию с лиц, управляющих мошенническими сайтами, за перенаправление веб-трафика в их направлении, при этом лица, предоставляющие взломанные веб-сайты, также получают свою долю. Кроме того, TDS может направлять пользователей на мошеннические веб-сайты, которыми управляет сама команда VexTrio, позволяя преступникам получать непосредственную прибыль от своей мошеннической деятельности. VexTrio представляет значительную угрозу безопасности из-за своего обширного охвата и сложной настройки.
VexTrio используется для доставки вредоносных угроз жертвам
Одним из штаммов вредоносного ПО, распространяемого через VexTrio, является SocGholish , также известный как FakeUpdates, и с начала 2024 года он стал одним из наиболее распространенных штаммов вредоносного ПО.
SocGholish, написанный на JavaScript, обычно активируется, когда пользователь посещает взломанный веб-сайт. Он специально предназначен для компьютеров под управлением Windows и представляет собой обновление браузера. Если ничего не подозревающему пользователю разрешена установка и последующее выполнение SocGholish, он заражает его компьютер бэкдорным вредоносным ПО, программами-вымогателями и другими вредоносными компонентами. Примечательно, что SocGholish доставлял GootLoader , Dridex , NetSupport , DoppelPaymer и AZORult на машины жертв. Вредоносное ПО принадлежит финансово мотивированной группе, известной как TA569 и UNC1543.
Кроме того, есть данные, свидетельствующие о том, что VexTrio используется для распространения вредоносного ПО ClearFake, ворующего информацию.
Группы вымогателей получили рекордные суммы выкупа от жертв
В 2023 году группы киберпреступников, специализирующиеся на угрозах, связанных с программами-вымогателями, пережили заметное возрождение: выплаты превысили 1 миллиард долларов, что сигнализировало о существенном росте масштабов и сложности их атак. Это ознаменовало значительное отклонение от наблюдаемого снижения в 2022 году. Исследователи подчеркивают, что общая тенденция с 2019 по 2023 год указывает на постоянную и растущую проблему, несмотря на временное снижение платежей за программы-вымогатели в 2022 году. Важно отметить, что сообщаемая цифра не включает в себя полный экономический ущерб, включая потерю производительности и расходы на ремонт, понесенные пострадавшими.
Действительно, в 2023 году произошел значительный всплеск частоты, масштабов и объемов атак программ-вымогателей, организованных самыми разными участниками, включая крупные синдикаты, небольшие группы и отдельных лиц. Появление брокеров начального доступа (IAB) сыграло ключевую роль в облегчении этих атак, предоставляя доступ к сетям, который они впоследствии продавали злоумышленникам-вымогателям по относительно низкой цене.
С точки зрения назначения средств, полученных в качестве выкупа, в схемах отмывания всегда отдавалось предпочтение централизованным биржам и миксерам. Однако в 2023 году появились и быстро набрали популярность новые сервисы, такие как мосты, мгновенные обменники и азартные игры.
