Le réseau malveillant VexTrio propage des logiciels malveillants
Les chercheurs ont découvert que plus de 70 000 sites Web apparemment légitimes ont été repris et intégrés dans un réseau, connu sous le nom de VexTrio, utilisé par des criminels pour distribuer des logiciels malveillants, déployer des pages de phishing et partager d'autres contenus illicites. Ce réseau, actif depuis 2017 ou avant, fonctionne de la même manière que les systèmes de distribution de trafic (TDS) utilisés en marketing pour diriger les utilisateurs vers des sites spécifiques en fonction de leurs intérêts. VexTrio compromet des dizaines de milliers de sites Web, redirigeant leurs visiteurs vers des pages hébergeant des téléchargements de logiciels malveillants, de fausses interfaces de connexion pour le vol d'identifiants ou se livrant à d'autres cyberactivités frauduleuses.
VexTrio fonctionne de manière similaire à MaaS
Environ 60 affiliés seraient impliqués dans le réseau VexTrio. Certains partenaires proposent des sites Web compromis, envoyant les utilisateurs vers l'infrastructure TDS de VexTrio, qui guide ensuite les navigateurs des victimes vers des pages nuisibles en fonction de critères spécifiques. VexTrio facture des frais aux criminels derrière les sites frauduleux pour diriger le trafic Web, et ceux responsables de la fourniture des sites Web compromis reçoivent une part des bénéfices. Le TDS dirige également les utilisateurs vers des sites Web frauduleux exploités par l'équipe VexTrio, leur permettant de bénéficier directement de leurs activités frauduleuses.
Check Point, dans son indice mondial des menaces de janvier, a classé VexTrio comme un risque de sécurité important en raison de sa portée étendue et de sa configuration sophistiquée. Cette évaluation concorde avec une enquête récente d'Infoblox, qui a qualifié VexTrio de « menace la plus répandue » pour ses clients. Infoblox suit VexTrio depuis deux ans et a mis en évidence des signes de compromission dont les environnements informatiques doivent être conscients.
Il est intéressant de noter que l'une des souches de malware distribuées via VexTrio est SocGholish (alias FakeUpdates), qui est devenu le malware le plus répandu en janvier, affectant quatre pour cent des organisations observées dans le monde. SocGholish, écrit en JavaScript, se déclenche lors de la visite d'un site Web compromis et cible les machines Windows en se faisant passer pour une mise à jour du navigateur. Une fois accepté et exécuté, il infecte le PC de la victime avec des logiciels malveillants, des ransomwares et d'autres éléments malveillants.