Το κακόβουλο δίκτυο VexTrio διαδίδει κακόβουλο λογισμικό

Οι ερευνητές ανακάλυψαν ότι περισσότεροι από 70.000 φαινομενικά νόμιμοι ιστότοποι έχουν καταληφθεί και ενσωματωθεί σε ένα δίκτυο, γνωστό ως VexTrio, που χρησιμοποιείται από εγκληματίες για τη διανομή κακόβουλου λογισμικού, την ανάπτυξη σελίδων ηλεκτρονικού ψαρέματος και την κοινή χρήση άλλου παράνομου περιεχομένου. Αυτό το δίκτυο, ενεργό από το 2017 ή νωρίτερα, λειτουργεί παρόμοια με τα συστήματα διανομής κίνησης (TDS) που χρησιμοποιούνται στο μάρκετινγκ για να κατευθύνει τους χρήστες σε συγκεκριμένους ιστότοπους με βάση τα ενδιαφέροντά τους. Το VexTrio υπονομεύει δεκάδες χιλιάδες ιστότοπους, ανακατευθύνοντας τους επισκέπτες τους σε σελίδες που φιλοξενούν λήψεις κακόβουλου λογισμικού, πλαστές διεπαφές σύνδεσης για κλοπή διαπιστευτηρίων ή εμπλέκονται σε άλλες δόλιες δραστηριότητες στον κυβερνοχώρο.

Το VexTrio λειτουργεί παρόμοια με το MaaS

Περίπου 60 θυγατρικές φέρονται να εμπλέκονται στο δίκτυο VexTrio. Ορισμένοι συνεργάτες συνεισφέρουν σε παραβιασμένους ιστότοπους, στέλνοντας τους χρήστες στην υποδομή TDS του VexTrio, η οποία στη συνέχεια καθοδηγεί τα προγράμματα περιήγησης των θυμάτων σε επιβλαβείς σελίδες με βάση συγκεκριμένα κριτήρια. Το VexTrio χρεώνει τέλη στους εγκληματίες πίσω από τους δόλιους ιστότοπους για τη διεύθυνση της κυκλοφορίας στον ιστό, και εκείνοι που είναι υπεύθυνοι για την παροχή των παραβιασμένων ιστότοπων λαμβάνουν μερίδιο από τα κέρδη. Το TDS κατευθύνει επίσης τους χρήστες σε ιστοτόπους απάτης που λειτουργούν από το πλήρωμα του VexTrio, επιτρέποντάς τους να επωφεληθούν άμεσα από τις δόλιες δραστηριότητές τους.

Η Check Point, στον δείκτη παγκόσμιας απειλής του Ιανουαρίου, κατέταξε το VexTrio ως σημαντικό κίνδυνο ασφάλειας λόγω της εκτεταμένης εμβέλειας και της εξελιγμένης διαμόρφωσής του. Αυτή η αξιολόγηση ευθυγραμμίζεται με μια πρόσφατη έρευνα της Infoblox, η οποία χαρακτήρισε το VexTrio ως τη «μοναδική πιο διάχυτη απειλή» για τους πελάτες της. Το Infoblox παρακολουθεί το VexTrio εδώ και δύο χρόνια και τόνισε σημάδια συμβιβασμού που πρέπει να γνωρίζουν τα περιβάλλοντα πληροφορικής.

Είναι ενδιαφέρον ότι ένα είδος κακόβουλου λογισμικού που διανέμεται μέσω του VexTrio είναι το SocGholish (γνωστό και ως FakeUpdates), το οποίο έγινε το πιο διαδεδομένο κακόβουλο λογισμικό τον Ιανουάριο, επηρεάζοντας το 4% των οργανισμών που παρατηρήθηκαν παγκοσμίως. Το SocGholish, γραμμένο σε JavaScript, ενεργοποιείται κατά την επίσκεψη σε έναν παραβιασμένο ιστότοπο και στοχεύει μηχανές Windows παρουσιάζοντας ως ενημέρωση του προγράμματος περιήγησης. Μόλις γίνει αποδεκτό και εκτελεστεί, μολύνει τον υπολογιστή του θύματος με κακόβουλο λογισμικό backdoor, ransomware και άλλα κακόβουλα στοιχεία.