VexTrio

信息安全研究人员发现，超过 70,000 个被认为合法的网站已被劫持并纳入犯罪分子用来传播恶意软件、托管网络钓鱼页面和共享其他非法内容的网络中。该网络被称为 VexTrio，自 2017 年或更早建立以来，基本上一直在不被发现的情况下运行。然而，最近的披露让更多的信息暴露出这一行动的性质。

VexTrio 是一项相当大的操作，可能会导致严重的安全问题

网络犯罪分子使用的过程并不复杂，类似于营销领域常用的流量分配系统（TDS），可根据互联网用户的兴趣或类似标准引导他们访问特定网站。

在 VexTrio 的背景下，数以万计的网站受到损害，将访问者重定向到促进恶意软件下载、显示伪造登录界面以窃取凭据或从事其他欺诈或网络犯罪活动的页面。

据信大约有 60 个附属机构以各种身份参与该网络。一些合作伙伴提供受感染的网站，将目标定向到 VexTrio 的 TDS 基础设施，然后将受害者的浏览器引导至有害页面。 TDS 通常仅在个人满足特定标准时才会对其进行重定向。

VexTrio 向经营欺诈网站的个人收取费用，以引导网络流量，提供受感染网站的个人也可以获得一定的分成。此外，TDS 可能会引导用户访问由 VexTrio 团队本身运营的诈骗网站，让犯罪分子直接从其欺诈活动中获利。 VexTrio 因其广泛的覆盖范围和复杂的设置而带来重大的安全风险。

VexTrio 被用来向受害者传递有害的恶意软件威胁

通过 VexTrio 分发的一种恶意软件菌株是SocGholish ，也称为 FakeUpdates，自 2024 年初以来，它已成为最流行的恶意软件菌株之一。

SocGholish 采用 JavaScript 编码，通常在用户访问受感染的网站时激活。它专门针对 Windows 计算机，将自身呈现为浏览器更新。如果允许毫无戒心的用户安装并执行它，SocGholish 就会通过后门恶意软件、勒索软件和其他恶意组件感染他们的 PC。值得注意的是，SocGholish 已被观察到将GootLoader 、 Dridex 、 NetSupport 、 DoppelPaymer和AZORult传送到受害者的机器上。该恶意软件是由一个具有经济动机的组织 TA569 和 UNC1543 发起的。

此外，有证据表明 VexTrio 被用来传播窃取信息的 ClearFake 恶意软件。

勒索软件组织从受害者处获得创纪录的赎金

2023 年，专门从事勒索软件威胁的网络犯罪组织出现了显着的复苏，支付的金额超过 10 亿美元，这表明其攻击的规模和复杂性大幅上升。这与 2022 年观察到的下降情况存在显着差异。研究人员强调，尽管 2022 年勒索软件付款暂时减少，但 2019 年至 2023 年的总体趋势表明，这个问题持续存在且日益严重。值得注意的是，报告的数字并不包括全面的经济影响，包括生产力损失和受害者产生的维修费用。

事实上，2023 年勒索软件攻击的频率、规模和数量显着激增，这些攻击由各种参与者（包括大型集团、较小的团体和个人）策划。初始访问代理 (IAB) 的出现通过提供网络访问权限在促进这些攻击方面发挥了关键作用，随后它们以相对较低的成本将其出售给勒索软件攻击者。

就赎金资金的去向而言，中心化交易所和混合器一直受到洗钱计划的青睐。然而，到了 2023 年，桥接器、即时兑换器和赌博服务等新服务出现并迅速获得关注。