VexTrio
Infosec araştırmacıları, yasal olduğuna inanılan 70.000'den fazla web sitesinin ele geçirildiğini ve suçluların kötü amaçlı yazılım yaymak, kimlik avı sayfaları barındırmak ve diğer yasa dışı içerikleri paylaşmak için kullandığı bir ağa dahil edildiğini ortaya çıkardı. VexTrio olarak adlandırılan bu ağ, kurulduğu 2017 yılından bu yana veya muhtemelen daha öncesinde fark edilmeden faaliyet gösteriyor. Ancak son zamanlarda ortaya çıkan açıklamalar, bu operasyonun doğası hakkında daha fazla bilgiyi gün ışığına çıkardı.
İçindekiler
VexTrio Ciddi Güvenlik Sorunlarına Yol Açabilecek Önemli Bir Operasyondur
Siber suçluların kullandığı süreç o kadar da karmaşık değil; internet kullanıcılarını ilgi alanlarına veya benzer kriterlere göre belirli sitelere yönlendirmek için pazarlama alanında yaygın olarak kullanılan trafik dağıtım sistemlerine (TDS'ler) benziyor.
VexTrio bağlamında on binlerce web sitesinin güvenliği ihlal ediliyor ve ziyaretçileri kötü amaçlı yazılım indirmeyi kolaylaştıran, kimlik bilgileri hırsızlığı için sahte oturum açma arayüzleri görüntüleyen veya diğer dolandırıcılık veya siber suç faaliyetlerine girişen sayfalara yönlendiriliyor.
Ağda çeşitli kapasitelerde yaklaşık 60 bağlı kuruluşun yer aldığına inanılıyor. Bazı ortaklar, tehlikeye atılmış web sitelerine katkıda bulunarak hedefleri VexTrio'nun TDS altyapısına yönlendirir ve bu da kurbanların tarayıcılarını zararlı sayfalara yönlendirir. TDS genellikle bireyleri yalnızca belirli kriterleri karşılamaları durumunda yönlendirir.
VexTrio, Web trafiğini kendi yollarına yönlendirmek için sahte siteler işleten kişilerden ücret alır ve ele geçirilen web sitelerini sağlayan kişiler de pay alır. Ek olarak, TDS, kullanıcıları VexTrio ekibi tarafından işletilen web sitelerini dolandırmaya yönlendirerek suçluların dolandırıcılık faaliyetlerinden doğrudan kâr elde etmelerine olanak tanıyabilir. VexTrio, geniş erişimi ve gelişmiş kurulumu nedeniyle önemli bir güvenlik riski oluşturmaktadır.
VexTrio, Kurbanlara Zararlı Kötü Amaçlı Yazılım Tehditleri Sunmak İçin Kullanılıyor
VexTrio aracılığıyla dağıtılan kötü amaçlı yazılım türlerinden biri, FakeUpdates olarak da bilinen SocGholish'tir ve 2024'ün başından bu yana en yaygın kötü amaçlı yazılım türlerinden biri olarak ortaya çıkmıştır.
JavaScript ile kodlanan SocGholish, genellikle bir kullanıcı güvenliği ihlal edilmiş bir web sitesini ziyaret ettiğinde etkinleşir. Özellikle Windows makinelerini hedef alıyor ve kendisini bir tarayıcı güncellemesi olarak sunuyor. Şüphelenmeyen kullanıcı tarafından yüklenmesine ve çalıştırılmasına izin verilirse SocGholish, bilgisayarına arka kapı kötü amaçlı yazılım, fidye yazılımı ve diğer kötü amaçlı bileşenleri bulaştırır. Özellikle SocGholish'in kurbanların makinelerine GootLoader , Dridex , NetSupport , DoppelPaymer ve AZORult'u dağıttığı gözlemlendi. Kötü amaçlı yazılımın, TA569 ve UNC1543 olarak tanımlanan mali motivasyonlu bir gruba atfediliyor.
Ek olarak, VexTrio'nun bilgi çalan ClearFake kötü amaçlı yazılımını dağıtmak için kullanıldığını gösteren kanıtlar var.
Fidye Yazılımı Grupları Kurbanlardan Rekor Fidye Ödemesi Elde Etti
2023 yılında, fidye yazılımı tehditleri konusunda uzmanlaşmış siber suçlu grupları, ödemelerinde 1 milyar doları aşan kayda değer bir yeniden canlanma yaşadı ve saldırılarının ölçeğinde ve karmaşıklığında önemli bir artışın sinyalini verdi. Bu, 2022'de gözlemlenen düşüşten önemli bir sapmaya işaret ediyor. Araştırmacılar, 2019'dan 2023'e kadar olan genel eğilimin, 2022 yılında fidye yazılımı ödemelerinde geçici bir düşüş olmasına rağmen kalıcı ve büyüyen bir soruna işaret ettiğini vurguluyor. Bildirilen rakamın, Kurbanların maruz kaldığı üretkenlik kaybı ve onarım masrafları da dahil olmak üzere tam ekonomik etki.
Gerçekten de 2023 yılında büyük sendikalar, küçük gruplar ve bireyler de dahil olmak üzere çok çeşitli aktörler tarafından gerçekleştirilen fidye yazılımı saldırılarının sıklığı, ölçeği ve hacminde önemli bir artış görüldü. İlk Erişim Aracılarının (IAB'ler) ortaya çıkışı, daha sonra nispeten düşük bir maliyetle fidye yazılımı saldırganlarına sattıkları ağlara erişim sağlayarak bu saldırıların kolaylaştırılmasında önemli bir rol oynadı.
Fidye ödemesi olarak elde edilen fonların varış yeri açısından, aklama planları için merkezi borsalar ve karıştırıcılar sürekli olarak tercih ediliyor. Ancak 2023'te köprüler, anlık değiştiriciler ve kumar hizmetleri gibi yeni hizmetler ortaya çıktı ve hızla ilgi gördü.
