A VexTrio rosszindulatú hálózat rosszindulatú programokat terjeszt

A kutatók felfedezték, hogy több mint 70 000 látszólag legális webhelyet vettek át és építettek be egy VexTrio néven ismert hálózatba, amelyet a bűnözők rosszindulatú programok terjesztésére, adathalász oldalak telepítésére és egyéb tiltott tartalmak megosztására használnak. Ez a 2017 óta vagy korábban működő hálózat hasonlóan működik a marketingben használt forgalomelosztó rendszerekhez (TDS), amelyek a felhasználók érdeklődési köre alapján meghatározott oldalakra irányítják a felhasználókat. A VexTrio webhelyek tízezreit sérti meg, látogatóikat olyan oldalakra irányítva át, ahol rosszindulatú programokat töltenek le, hamis bejelentkezési felületeket találnak hitelesítő adatok ellopásához, vagy más csalárd kibertevékenységben vesznek részt.

A VexTrio a MaaS-hez hasonlóan működik

A jelentések szerint körülbelül 60 leányvállalat vesz részt a VexTrio hálózatban. Egyes partnerek hozzájárulnak a feltört webhelyekhez, és a felhasználókat a VexTrio TDS-infrastruktúrájába küldik, amely aztán meghatározott kritériumok alapján a káros oldalakra irányítja az áldozatok böngészőit. A VexTrio díjat számít fel a csaló oldalak mögött álló bűnözőknek az internetes forgalom irányításáért, és a feltört webhelyek biztosításáért felelős személyek részesedést kapnak a nyereségből. A TDS emellett a VexTrio csapata által üzemeltetett csaló webhelyekre irányítja a felhasználókat, lehetővé téve számukra, hogy közvetlenül részesüljenek csaló tevékenységeikből.

A Check Point januári globális fenyegetési indexében a VexTrio-t jelentős biztonsági kockázatnak minősítette kiterjedt hatóköre és kifinomult beállítása miatt. Ez az értékelés összhangban van az Infoblox nemrégiben végzett vizsgálatával, amely szerint a VexTrio az "egyedüli legáthatóbb fenyegetés" ügyfelei számára. Az Infoblox két éve nyomon követi a VexTriót, és rávilágított a kompromisszum jeleire, amelyekkel az informatikai környezeteknek tisztában kell lenniük.

Érdekes módon a VexTrio-n keresztül terjesztett rosszindulatú programok egyik fajtája a SocGholish (más néven FakeUpdates), amely januárban a legelterjedtebb kártevő lett, és világszerte a megfigyelt szervezetek négy százalékát érintette. A JavaScript nyelven írt SocGholish akkor aktiválódik, amikor egy feltört webhelyet látogat meg, és a Windows rendszerű gépeket célozza meg úgy, hogy böngészőfrissítésnek adja ki magát. Elfogadása és végrehajtása után megfertőzi az áldozat számítógépét hátsó ajtóban működő rosszindulatú programokkal, zsarolóprogramokkal és egyéb rosszindulatú elemekkel.