La rete dannosa VexTrio diffonde malware

I ricercatori hanno scoperto che oltre 70.000 siti Web apparentemente legittimi sono stati rilevati e incorporati in una rete, nota come VexTrio, utilizzata dai criminali per distribuire malware, pubblicare pagine di phishing e condividere altri contenuti illeciti. Questa rete, attiva dal 2017 o prima, funziona in modo simile ai sistemi di distribuzione del traffico (TDS) utilizzati nel marketing per indirizzare gli utenti verso siti specifici in base ai loro interessi. VexTrio compromette decine di migliaia di siti Web, reindirizzando i visitatori a pagine che ospitano download di malware, interfacce di accesso false per il furto di credenziali o impegnandosi in altre attività informatiche fraudolente.

VexTrio funziona in modo simile a MaaS

Secondo quanto riferito, circa 60 affiliati sono coinvolti nella rete VexTrio. Alcuni partner contribuiscono con siti Web compromessi, indirizzando gli utenti all'infrastruttura TDS di VexTrio, che poi guida i browser delle vittime verso pagine dannose in base a criteri specifici. VexTrio addebita commissioni ai criminali dietro i siti fraudolenti per indirizzare il traffico web e i responsabili della fornitura dei siti Web compromessi ricevono una quota dei profitti. Il TDS indirizza inoltre gli utenti a siti Web truffa gestiti dalla squadra VexTrio, consentendo loro di trarre vantaggio direttamente dalle loro attività fraudolente.

Check Point, nel suo indice delle minacce globali di gennaio, ha classificato VexTrio come un rischio significativo per la sicurezza a causa della sua vasta portata e della sua configurazione sofisticata. Questa valutazione è in linea con una recente indagine di Infoblox, che ha etichettato VexTrio come "la minaccia più pervasiva" per i suoi clienti. Infoblox monitora VexTrio da due anni e ha evidenziato segni di compromissione di cui gli ambienti IT dovrebbero essere a conoscenza.

È interessante notare che un ceppo di malware distribuito tramite VexTrio è SocGholish (noto anche come FakeUpdates), diventato il malware più diffuso a gennaio, colpendo il 4% delle organizzazioni osservate in tutto il mondo. SocGholish, scritto in JavaScript, viene attivato quando si visita un sito Web compromesso e prende di mira le macchine Windows fingendosi un aggiornamento del browser. Una volta accettato ed eseguito, infetta il PC della vittima con malware backdoor, ransomware e altri elementi dannosi.