VexTrio の悪意のあるネットワークがマルウェアを拡散
研究者らは、70,000 を超える一見正当な Web サイトが乗っ取られ、VexTrio として知られるネットワークに組み込まれ、犯罪者がマルウェアの配布、フィッシング ページの展開、その他の違法コンテンツの共有に利用していることを発見しました。このネットワークは 2017 年以前から活動しており、ユーザーの興味に基づいて特定のサイトにユーザーを誘導するためにマーケティングで使用されるトラフィック配信システム (TDS) と同様に動作します。 VexTrio は数万の Web サイトを侵害し、訪問者をマルウェアのダウンロードをホストするページにリダイレクトしたり、資格情報の盗難のための偽のログイン インターフェイスを使用したり、その他の不正なサイバー活動に参加したりします。
VexTrio は MaaS と同様に機能します
約 60 社の関連会社が VexTrio ネットワークに関与していると伝えられています。一部のパートナーは侵害された Web サイトに貢献し、ユーザーを VexTrio の TDS インフラストラクチャに送り、特定の基準に基づいて被害者のブラウザを有害なページに誘導します。 VexTrio は、Web トラフィックを誘導する詐欺サイトの背後にいる犯罪者に料金を請求し、侵害された Web サイトを提供した責任者が利益の一部を受け取ります。また、TDS は、VexTrio チームが運営する詐欺 Web サイトにユーザーを誘導し、詐欺行為から直接利益を得られるようにします。
Check Point は、1 月のグローバル脅威インデックスで、VexTrio をその広範囲な到達範囲と洗練されたセットアップにより重大なセキュリティ リスクとして分類しました。この評価は、VexTrio を顧客にとって「最も蔓延している単一の脅威」と分類した Infoblox による最近の調査と一致しています。 Infoblox は VexTrio を 2 年間追跡しており、IT 環境が注意すべき侵害の兆候を浮き彫りにしました。
興味深いことに、VexTrio を通じて配布されたマルウェアの 1 つの株は SocGholish (別名 FakeUpdates) で、1 月に最も蔓延したマルウェアとなり、世界中で観測された組織の 4% に影響を与えました。 SocGholish は JavaScript で書かれており、侵害された Web サイトにアクセスするとトリガーされ、ブラウザーのアップデートを装って Windows マシンをターゲットにします。受け入れられて実行されると、被害者の PC がバックドア マルウェア、ランサムウェア、その他の悪意のある要素に感染します。