VexTrio
Các nhà nghiên cứu của Infosec đã phát hiện hơn 70.000 trang web được cho là hợp pháp đã bị tấn công và tích hợp vào mạng bị bọn tội phạm sử dụng để phát tán phần mềm độc hại, lưu trữ các trang lừa đảo và chia sẻ nội dung bất hợp pháp khác. Mạng này, được gọi là VexTrio, chủ yếu hoạt động mà không bị phát hiện kể từ khi thành lập vào năm 2017 hoặc có thể sớm hơn. Tuy nhiên, những tiết lộ gần đây đã mang lại nhiều thông tin hơn về bản chất của hoạt động này.
Mục lục
VexTrio là một hoạt động đáng chú ý có thể dẫn đến các vấn đề bảo mật nghiêm trọng
Quá trình được tội phạm mạng sử dụng không phức tạp, giống như các hệ thống phân phối lưu lượng truy cập (TDS) thường được sử dụng trong lĩnh vực tiếp thị để hướng dẫn người dùng internet đến các trang web cụ thể dựa trên sở thích của họ hoặc tiêu chí tương tự.
Trong bối cảnh của VexTrio, hàng chục nghìn trang web bị xâm phạm, chuyển hướng khách truy cập đến các trang tạo điều kiện tải xuống phần mềm độc hại, hiển thị giao diện đăng nhập giả mạo để đánh cắp thông tin xác thực hoặc tham gia vào các hoạt động gian lận hoặc tội phạm mạng khác.
Khoảng 60 chi nhánh được cho là tham gia vào mạng lưới với nhiều năng lực khác nhau. Một số đối tác đóng góp các trang web bị xâm nhập, hướng mục tiêu đến cơ sở hạ tầng TDS của VexTrio, sau đó điều khiển trình duyệt của nạn nhân tới các trang độc hại. TDS thường chỉ chuyển hướng các cá nhân nếu họ đáp ứng các tiêu chí cụ thể.
VexTrio tính phí từ các cá nhân điều hành các trang web lừa đảo để phân luồng lưu lượng truy cập Web theo cách của họ, đồng thời những cá nhân cung cấp các trang web bị xâm nhập cũng nhận được một phần chia sẻ. Ngoài ra, TDS có thể hướng dẫn người dùng lừa đảo các trang web do chính nhóm VexTrio điều hành, cho phép bọn tội phạm thu lợi trực tiếp từ các hoạt động lừa đảo của chúng. VexTrio gây ra rủi ro bảo mật đáng kể do phạm vi tiếp cận rộng rãi và thiết lập phức tạp.
VexTrio đang được sử dụng để cung cấp các mối đe dọa phần mềm độc hại có hại cho nạn nhân
Một chủng phần mềm độc hại được phân phối thông qua VexTrio là SocGholish , còn được gọi là FakeUpdates và nó đã nổi lên như một trong những chủng phần mềm độc hại phổ biến nhất kể từ đầu năm 2024.
SocGholish, được mã hóa bằng JavaScript, thường kích hoạt khi người dùng truy cập trang web bị xâm nhập. Nó đặc biệt nhắm mục tiêu vào các máy Windows, thể hiện dưới dạng bản cập nhật trình duyệt. Nếu nó được phép cài đặt và sau đó được thực thi bởi người dùng không nghi ngờ, SocGholish sẽ lây nhiễm vào PC của họ bằng phần mềm độc hại cửa sau, ransomware và các thành phần độc hại khác. Đáng chú ý, SocGholish đã được quan sát thấy đang phân phối GootLoader , Dridex , NetSupport , DoppelPaymer và AZORult vào máy của nạn nhân. Phần mềm độc hại được cho là do một nhóm có động cơ tài chính được xác định là TA569 và UNC1543.
Ngoài ra, có bằng chứng cho thấy VexTrio được sử dụng để phân phối phần mềm độc hại ClearFake đánh cắp thông tin.
Các nhóm ransomware đã thu được khoản thanh toán tiền chuộc kỷ lục từ nạn nhân
Vào năm 2023, các nhóm tội phạm mạng chuyên về các mối đe dọa ransomware đã trải qua sự trỗi dậy đáng chú ý, vượt qua khoản thanh toán 1 tỷ USD và báo hiệu sự gia tăng đáng kể về quy mô cũng như mức độ phức tạp của các cuộc tấn công của chúng. Điều này đánh dấu sự khác biệt đáng kể so với mức giảm được quan sát vào năm 2022. Các nhà nghiên cứu nhấn mạnh rằng xu hướng chung từ năm 2019 đến năm 2023 cho thấy một vấn đề dai dẳng và ngày càng gia tăng mặc dù số khoản thanh toán bằng ransomware đã giảm tạm thời trong năm 2022. Điều cần lưu ý là con số được báo cáo không bao gồm toàn bộ tác động kinh tế, bao gồm tổn thất năng suất và chi phí sửa chữa mà nạn nhân phải gánh chịu.
Thật vậy, năm 2023 đã chứng kiến sự gia tăng đáng kể về tần suất, quy mô và số lượng các cuộc tấn công bằng ransomware được dàn dựng bởi nhiều tác nhân khác nhau, bao gồm các tập đoàn lớn, các nhóm nhỏ hơn và các cá nhân. Sự xuất hiện của Nhà môi giới truy cập ban đầu (IAB) đóng một vai trò quan trọng trong việc tạo điều kiện cho các cuộc tấn công này bằng cách cung cấp quyền truy cập vào mạng mà sau đó họ bán cho những kẻ tấn công ransomware với chi phí tương đối thấp.
Xét về đích đến của số tiền thu được dưới dạng thanh toán tiền chuộc, các sàn giao dịch và sàn giao dịch tập trung luôn được ưa chuộng cho các kế hoạch rửa tiền. Tuy nhiên, vào năm 2023, các dịch vụ mới, chẳng hạn như cầu nối, sàn giao dịch tức thời và dịch vụ cờ bạc, đã xuất hiện và nhanh chóng thu hút được sự chú ý.
