VexTrio
Infosec-forskare har avslöjat över 70 000 webbplatser som tros vara legitima som har kapats och införlivats i ett nätverk som används av brottslingar för att sprida skadlig programvara, vara värd för nätfiskesidor och dela annat olagligt innehåll. Detta nätverk, kallat VexTrio, har i första hand fungerat oupptäckt sedan det etablerades 2017 eller möjligen tidigare. De senaste avslöjandena har dock lett till mer information om denna operations karaktär.
Innehållsförteckning
VexTrio är en betydande operation som kan leda till allvarliga säkerhetsproblem
Processen som används av cyberbrottslingar är inte så komplex, den liknar trafikdistributionssystem (TDS) som vanligtvis används inom marknadsföringsområdet för att guida internetanvändare till specifika webbplatser baserat på deras intressen eller liknande kriterier.
I samband med VexTrio, äventyras tiotusentals webbplatser, som omdirigerar sina besökare till sidor som underlättar nedladdning av skadlig programvara, visar förfalskade inloggningsgränssnitt för stöld av autentiseringsuppgifter eller deltar i andra bedrägliga eller cyberkriminella aktiviteter.
Ungefär 60 medlemsförbund tros vara involverade i nätverket i olika kapacitet. Vissa partners bidrar med komprometterade webbplatser och riktar mål till VexTrios TDS-infrastruktur, som sedan styr offrens webbläsare mot skadliga sidor. TDS omdirigerar vanligtvis individer endast om de uppfyller specifika kriterier.
VexTrio tar ut en avgift från de individer som driver bedrägliga webbplatser för att kanalisera webbtrafik på deras sätt, och de individer som tillhandahållit de utsatta webbplatserna får också en del. Dessutom kan TDS guida användare till bluffwebbplatser som drivs av VexTrio-teamet själva, vilket gör att brottslingarna kan dra direkt nytta av deras bedrägliga aktiviteter. VexTrio utgör en betydande säkerhetsrisk på grund av dess omfattande räckvidd och sofistikerade installation.
VexTrio används för att leverera skadliga hot mot skadlig programvara till offer
En skadlig stam som distribueras genom VexTrio är SocGholish , även känd som FakeUpdates, och den har framstått som en av de vanligaste skadliga stammarna sedan början av 2024.
SocGholish, kodat i JavaScript, aktiveras vanligtvis när en användare besöker en intrång på en webbplats. Den riktar sig specifikt till Windows-maskiner och presenterar sig som en webbläsaruppdatering. Om det tillåts installeras och sedan exekveras av den intet ont anande användaren, infekterar SocGholish sin dator med bakdörr skadlig programvara, ransomware och andra skadliga komponenter. Noterbart har SocGholish observerats leverera GootLoader , Dridex , NetSupport , DoppelPaymer och AZORult till offrens maskiner. Skadlig programvara tillskrivs en ekonomiskt motiverad grupp identifierad som TA569 och UNC1543.
Dessutom finns det bevis som tyder på att VexTrio används för att distribuera den informationsstjälande skadliga programvaran ClearFake.
Ransomware-grupper skördade rekord lösensumma från offer
År 2023 upplevde cyberkriminella grupper som specialiserat sig på ransomware-hot en anmärkningsvärd återuppsving, översteg 1 miljard dollar i betalningar och signalerade en betydande ökning i omfattningen och komplexiteten av deras attacker. Detta markerade en betydande avvikelse från den observerade nedgången 2022. Forskare framhåller att den övergripande trenden från 2019 till 2023 indikerar ett ihållande och växande problem trots en tillfällig minskning av utbetalningar av ransomware under 2022. Det är viktigt att notera att den rapporterade siffran inte omfattar full ekonomisk effekt, inklusive produktivitetsförlust och reparationskostnader som drabbats av offren.
Faktum är att 2023 såg en betydande ökning av frekvensen, omfattningen och volymen av ransomware-attacker orkestrerade av en mängd olika aktörer, inklusive stora syndikat, mindre grupper och individer. Framväxten av Initial Access Brokers (IAB) spelade en nyckelroll för att underlätta dessa attacker genom att ge tillgång till nätverk, som de sedan sålde till angripare med ransomware till en relativt låg kostnad.
När det gäller destinationen för de medel som erhållits som lösenbetalningar har centraliserade börser och blandare konsekvent gynnats för tvättsystem. Men 2023 uppstod nya tjänster, såsom broar, omedelbara växlare och speltjänster, som snabbt fick draghjälp.
