„VexTrio“ kenkėjiškas tinklas platina kenkėjiškas programas

Tyrėjai išsiaiškino, kad daugiau nei 70 000 akivaizdžiai teisėtų svetainių buvo perimtos ir įtrauktos į tinklą, žinomą kaip VexTrio, kurį nusikaltėliai naudoja kenkėjiškų programų platinimui, sukčiavimo puslapių diegimui ir kitu neteisėtu turiniui. Šis tinklas, veikiantis nuo 2017 m. ar anksčiau, veikia panašiai kaip srauto paskirstymo sistemos (TDS), naudojamos rinkodaroje, siekiant nukreipti vartotojus į konkrečias svetaines pagal jų interesus. „VexTrio“ pažeidžia dešimtis tūkstančių svetainių, nukreipdama jų lankytojus į puslapius, kuriuose atsisiunčiamos kenkėjiškos programos, suklastotos prisijungimo sąsajos, skirtos kredencialų vagystei, arba užsiima kita nesąžininga kibernetinė veikla.

„VexTrio“ veikia panašiai kaip „MaaS“.

Pranešama, kad „VexTrio“ tinkle dalyvauja maždaug 60 filialų. Kai kurie partneriai prisideda prie pažeistų svetainių, siųsdami vartotojus į „VexTrio“ TDS infrastruktūrą, kuri pagal konkrečius kriterijus nukreipia aukų naršykles į žalingus puslapius. „VexTrio“ ima mokesčius iš apgaulingų svetainių nusikaltėliams už interneto srauto nukreipimą, o tie, kurie atsakingi už pažeistų svetainių teikimą, gauna dalį pelno. TDS taip pat nukreipia vartotojus į sukčiavimo svetaines, kurias valdo „VexTrio“ komanda, todėl jie gali gauti tiesioginės naudos iš savo apgaulingos veiklos.

„Check Point“ sausio mėnesio visuotiniame grėsmių indekse „VexTrio“ klasifikavo kaip didelę saugumo riziką dėl plataus pasiekiamumo ir sudėtingos sąrankos. Šis vertinimas atitinka naujausią „Infoblox“ tyrimą, kuriame „VexTrio“ buvo nurodyta kaip „vienintelė labiausiai paplitusi grėsmė“ savo klientams. „Infoblox“ dvejus metus stebėjo „VexTrio“ ir pabrėžė kompromiso ženklus, apie kuriuos turėtų žinoti IT aplinkos.

Įdomu tai, kad viena kenkėjiškų programų atmaina, platinama per „VexTrio“, yra „SocGholish“ (dar žinoma kaip „FakeUpdates“), kuri sausio mėnesį tapo labiausiai paplitusia kenkėjiška programa ir paveikė keturis procentus stebimų organizacijų visame pasaulyje. „SocGholish“, parašytas „JavaScript“, suaktyvinamas apsilankius pažeistoje svetainėje ir nukreipiamas į „Windows“ įrenginius, parodydamas naršyklės naujinį. Priėmus ir įvykdžius, aukos kompiuteris užkrečiamas užpakalinių durų kenkėjiškomis programomis, išpirkos programomis ir kitais kenkėjiškais elementais.