VexTrio

資訊安全研究人員發現，超過 70,000 個被認為合法的網站已被劫持並納入犯罪分子用來傳播惡意軟體、託管網路釣魚頁面和共享其他非法內容的網路中。該網絡被稱為 VexTrio，自 2017 年或更早建立以來，基本上一直在不被發現的情況下運行。然而，最近的披露讓更多的資訊暴露出這一行動的性質。

VexTrio 是一項相當大的操作，可能會導致嚴重的安全問題

網路犯罪分子使用的過程並不複雜，類似於行銷領域常用的流量分配系統（TDS），可根據網路使用者的興趣或類似標準引導他們造訪特定網站。

在 VexTrio 的背景下，數以萬計的網站受到損害，將訪客重定向到促進惡意軟體下載、顯示偽造登入介面以竊取憑證或從事其他詐欺或網路犯罪活動的頁面。

據信大約有 60 個附屬機構以各種身分參與該網路。一些合作夥伴提供受感染的網站，將目標導向 VexTrio 的 TDS 基礎設施，然後將受害者的瀏覽器引導至有害頁面。 TDS 通常僅在個人符合特定標準時才會對其進行重定向。

VexTrio 向經營詐騙網站的個人收取費用，以引導網路流量，提供受感染網站的個人也可以獲得一定的分成。此外，TDS 可能會引導使用者造訪由 VexTrio 團隊本身經營的詐騙網站，讓犯罪者直接從其詐騙活動中獲利。 VexTrio 因其廣泛的覆蓋範圍和複雜的設置而帶來重大的安全風險。

VexTrio 被用來向受害者傳遞有害的惡意軟體威脅

透過 VexTrio 分發的一種惡意軟體菌株是SocGholish ，也稱為 FakeUpdates，自 2024 年初以來，它已成為最受歡迎的惡意軟體菌株之一。

SocGholish 採用 JavaScript 編碼，通常在使用者造訪受感染的網站時啟動。它專門針對 Windows 計算機，並將自身呈現為瀏覽器更新。如果允許毫無戒心的用戶安裝並執行它，SocGholish 就會透過後門惡意軟體、勒索軟體和其他惡意元件感染他們的 PC。值得注意的是，SocGholish 已被觀察到將GootLoader 、 Dridex 、 NetSupport 、 DoppelPaymer和AZORult傳送到受害者的機器上。該惡意軟體是由一個具有經濟動機的組織 TA569 和 UNC1543 發起的。

此外，有證據表明 VexTrio 被用來傳播竊取資訊的 ClearFake 惡意軟體。

勒索軟體組織從受害者處獲得創紀錄的贖金

2023 年，專門從事勒索軟體威脅的網路犯罪組織出現了顯著的復甦，支付的金額超過 10 億美元，這表明其攻擊的規模和複雜性大幅上升。這與2022 年觀察到的下降情況有顯著差異。研究人員強調，儘管2022 年勒索軟體付款暫時減少，但2019 年至2023 年的總體趨勢表明，這個問題持續存在且日益嚴重。值得注意的是，報告的數字並不包括全面的經濟影響，包括生產力損失和受害者產生的維修費用。

事實上，2023 年勒索軟體攻擊的頻率、規模和數量顯著激增，這些攻擊由各種參與者（包括大型集團、較小的團體和個人）策劃。初始存取代理 (IAB) 的出現透過提供網路存取權限在促進這些攻擊方面發揮了關鍵作用，隨後它們以相對較低的成本將其出售給勒索軟體攻擊者。

就贖金資金的去向而言，中心化交易所和混合器一直受到洗錢計畫的青睞。然而，到了 2023 年，橋接器、即時兌換器和賭博服務等新服務出現並迅速獲得關注。