La red maliciosa VexTrio propaga malware
Los investigadores han descubierto que más de 70.000 sitios web aparentemente legítimos han sido controlados e incorporados a una red, conocida como VexTrio, utilizada por delincuentes para distribuir malware, implementar páginas de phishing y compartir otros contenidos ilícitos. Esta red, activa desde 2017 o antes, opera de manera similar a los sistemas de distribución de tráfico (TDS) utilizados en marketing para dirigir a los usuarios a sitios específicos según sus intereses. VexTrio compromete decenas de miles de sitios web, redirigiendo a sus visitantes a páginas que albergan descargas de malware, interfaces de inicio de sesión falsas para el robo de credenciales o participan en otras actividades cibernéticas fraudulentas.
VexTrio funciona de manera similar a MaaS
Según se informa, aproximadamente 60 afiliados participan en la red VexTrio. Algunos socios contribuyen con sitios web comprometidos, enviando a los usuarios a la infraestructura TDS de VexTrio, que luego guía a los navegadores de las víctimas a páginas dañinas según criterios específicos. VexTrio cobra tarifas a los delincuentes detrás de los sitios fraudulentos por dirigir el tráfico web, y los responsables de proporcionar los sitios web comprometidos reciben una parte de las ganancias. El TDS también dirige a los usuarios a sitios web fraudulentos operados por el grupo VexTrio, lo que les permite beneficiarse directamente de sus actividades fraudulentas.
Check Point, en su índice de amenazas globales de enero, clasificó a VexTrio como un riesgo de seguridad significativo debido a su amplio alcance y configuración sofisticada. Esta evaluación se alinea con una investigación reciente de Infoblox, que calificó a VexTrio como la "amenaza más generalizada" para sus clientes. Infoblox ha estado rastreando a VexTrio durante dos años y destacó signos de compromiso que los entornos de TI deben conocer.
Curiosamente, una cepa de malware distribuida a través de VexTrio es SocGholish (también conocido como FakeUpdates), que se convirtió en el malware más frecuente en enero y afectó al cuatro por ciento de las organizaciones observadas en todo el mundo. SocGholish, escrito en JavaScript, se activa al visitar un sitio web comprometido y apunta a máquinas con Windows haciéndose pasar por una actualización del navegador. Una vez aceptado y ejecutado, infecta la PC de la víctima con malware de puerta trasera, ransomware y otros elementos maliciosos.