VexTrio
Дослідники Infosec виявили понад 70 000 веб-сайтів, які вважаються законними та були захоплені та включені в мережу, яка використовується злочинцями для розповсюдження шкідливого програмного забезпечення, розміщення фішингових сторінок та обміну іншим незаконним вмістом. Ця мережа, яку називають VexTrio, в основному працювала непомітно з моменту свого створення в 2017 році або, можливо, раніше. Однак нещодавні викриття дозволили отримати більше інформації про природу цієї операції.
Зміст
VexTrio — це значна операція, яка може призвести до серйозних проблем із безпекою
Процес, який використовують кіберзлочинці, не такий складний і нагадує системи розподілу трафіку (TDSes), які зазвичай використовуються в маркетинговій сфері, щоб направляти користувачів Інтернету на певні сайти на основі їхніх інтересів або подібних критеріїв.
У контексті VexTrio десятки тисяч веб-сайтів скомпрометовані, перенаправляючи своїх відвідувачів на сторінки, які сприяють завантаженню зловмисного програмного забезпечення, відображають підроблені інтерфейси входу для крадіжки облікових даних або беруть участь у інших шахрайських або кіберзлочинних діях.
Вважається, що приблизно 60 афілійованих осіб залучені до мережі на різних посадах. Деякі партнери надають скомпрометовані веб-сайти, спрямовуючи цілі на інфраструктуру TDS VexTrio, яка потім спрямовує браузери жертв на шкідливі сторінки. TDS зазвичай перенаправляє осіб, лише якщо вони відповідають певним критеріям.
VexTrio стягує плату з осіб, які керують шахрайськими сайтами, за спрямування веб-трафіку, причому особи, які надали скомпрометовані веб-сайти, також отримують частку. Крім того, TDS може направляти користувачів на шахрайські веб-сайти, керовані самою командою VexTrio, дозволяючи злочинцям отримувати прибуток безпосередньо від їхньої шахрайської діяльності. VexTrio створює значний ризик для безпеки через широке охоплення та складне налаштування.
VexTrio використовується для доставки шкідливих загроз жертвам
Одним із видів зловмисного програмного забезпечення, що розповсюджується через VexTrio, є SocGholish , також відомий як FakeUpdates, і він став одним із найпоширеніших штамів зловмисного програмного забезпечення з початку 2024 року.
SocGholish, закодований у JavaScript, зазвичай активується, коли користувач відвідує скомпрометований веб-сайт. Він спеціально націлений на машини Windows, представляючи себе як оновлення браузера. Якщо користувач, який нічого не підозрює, дозволяє його встановити, а потім запустити, SocGholish заражає їхній комп’ютер бекдор-шкідливим програмним забезпеченням, програмами-вимагачами та іншими шкідливими компонентами. Зокрема, було помічено, що SocGholish доставляє GootLoader , Dridex , NetSupport , DoppelPaymer і AZORult на машини жертв. Зловмисне програмне забезпечення приписують фінансово мотивованій групі, ідентифіковані як TA569 і UNC1543.
Крім того, є докази того, що VexTrio використовується для розповсюдження зловмисного програмного забезпечення ClearFake, яке викрадає інформацію.
Групи програм-вимагачів отримали рекордні викупи від жертв
У 2023 році групи кіберзлочинців, що спеціалізуються на загрозах програм-вимагачів, пережили помітне відродження, перевищивши 1 мільярд доларів США в платежах і вказуючи на значне зростання масштабу та складності їхніх атак. Це стало значним відхиленням від спостережуваного зниження в 2022 році. Дослідники підкреслюють, що загальна тенденція з 2019 по 2023 роки вказує на постійну та зростаючу проблему, незважаючи на тимчасове зменшення платежів за програмне забезпечення-вимагач протягом 2022 року. Важливо зазначити, що звітна цифра не охоплює повний економічний вплив, включаючи втрату продуктивності та витрати на ремонт, понесені жертвами.
Дійсно, у 2023 році спостерігався значний сплеск частоти, масштабу та обсягу атак програм-вимагачів, організованих різноманітними учасниками, включаючи великі синдикати, менші групи та окремих осіб. Поява брокерів початкового доступу (IAB) відіграла ключову роль у сприянні цим атакам, надаючи доступ до мереж, який вони згодом продавали зловмисникам програм-вимагачів за відносно низькою ціною.
З точки зору призначення коштів, отриманих як платежі викупу, централізовані біржі та міксери постійно віддають перевагу схемам відмивання. Однак у 2023 році з’явилися нові послуги, такі як бриджі, миттєві обмінники та азартні послуги, які швидко набули поширення.
