VexTrio Malicious Network spreder malware
Forskere har opdaget, at over 70.000 tilsyneladende legitime websteder er blevet overtaget og indarbejdet i et netværk, kendt som VexTrio, brugt af kriminelle til at distribuere malware, implementere phishing-sider og dele andet ulovligt indhold. Dette netværk, der har været aktivt siden 2017 eller tidligere, fungerer på samme måde som trafikdistributionssystemer (TDS'er), der bruges i markedsføring for at dirigere brugere til specifikke websteder baseret på deres interesser. VexTrio kompromitterer titusindvis af websteder, omdirigerer deres besøgende til sider, der hoster malware-downloads, falske login-grænseflader for tyveri af legitimationsoplysninger eller involverer sig i andre svigagtige cyberaktiviteter.
VexTrio virker på samme måde som MaaS
Cirka 60 tilknyttede selskaber er angiveligt involveret i VexTrio-netværket. Nogle partnere bidrager med kompromitterede websteder og sender brugere til VexTrios TDS-infrastruktur, som derefter guider ofrenes browsere til skadelige sider baseret på specifikke kriterier. VexTrio opkræver gebyrer til de kriminelle bag de svigagtige websteder for at dirigere webtrafik, og de ansvarlige for at levere de kompromitterede websteder modtager en del af overskuddet. TDS dirigerer også brugere til svindelwebsteder, der drives af VexTrio-besætningen, hvilket giver dem mulighed for direkte at drage fordel af deres svigagtige aktiviteter.
Check Point klassificerede i januars globale trusselindeks VexTrio som en betydelig sikkerhedsrisiko på grund af dets omfattende rækkevidde og sofistikerede opsætning. Denne vurdering stemmer overens med en nylig undersøgelse foretaget af Infoblox, som betegnede VexTrio som "den mest gennemgående trussel" mod sine kunder. Infoblox har fulgt VexTrio i to år og fremhævet tegn på kompromis, som it-miljøer bør være opmærksomme på.
Interessant nok er en stamme af malware distribueret gennem VexTrio SocGholish (alias FakeUpdates), som blev den mest udbredte malware i januar, der påvirker fire procent af de observerede organisationer verden over. SocGholish, skrevet i JavaScript, udløses, når man besøger et kompromitteret websted og målretter mod Windows-maskiner ved at udgive sig for en browseropdatering. Når den er accepteret og henrettet, inficerer den ofrets pc med bagdørs malware, ransomware og andre ondsindede elementer.
