Złośliwa sieć VexTrio rozprzestrzenia złośliwe oprogramowanie

Badacze odkryli, że przejęto ponad 70 000 pozornie legalnych witryn internetowych i włączono je do sieci znanej jako VexTrio, wykorzystywanej przez przestępców do dystrybucji złośliwego oprogramowania, wdrażania stron phishingowych i udostępniania innych nielegalnych treści. Sieć ta, działająca od 2017 roku lub wcześniej, działa podobnie do stosowanych w marketingu systemów dystrybucji ruchu (TDS), które kierują użytkowników do określonych witryn w oparciu o ich zainteresowania. VexTrio atakuje dziesiątki tysięcy witryn internetowych, przekierowując ich odwiedzających na strony, na których można pobrać złośliwe oprogramowanie, fałszywe interfejsy logowania w celu kradzieży danych uwierzytelniających lub angażować się w inne oszukańcze działania cybernetyczne.

VexTrio działa podobnie do MaaS

Według doniesień w sieci VexTrio zaangażowanych jest około 60 podmiotów stowarzyszonych. Niektórzy partnerzy udostępniają zainfekowane strony internetowe, wysyłając użytkowników do infrastruktury TDS VexTrio, która następnie kieruje przeglądarki ofiar do szkodliwych stron w oparciu o określone kryteria. VexTrio pobiera od przestępców stojących za fałszywymi witrynami opłaty za kierowanie ruchem internetowym, a osoby odpowiedzialne za udostępnianie zainfekowanych witryn otrzymują część zysków. TDS kieruje również użytkowników do oszukańczych witryn internetowych obsługiwanych przez załogę VexTrio, umożliwiając im bezpośrednie czerpanie korzyści z ich oszukańczych działań.

Firma Check Point w swoim styczniowym globalnym indeksie zagrożeń sklasyfikowała VexTrio jako znaczące zagrożenie bezpieczeństwa ze względu na jego szeroki zasięg i wyrafinowaną konfigurację. Ocena ta jest zgodna z niedawnym dochodzeniem przeprowadzonym przez firmę Infoblox, która określiła VexTrio jako „najbardziej wszechobecne zagrożenie” dla swoich klientów. Infoblox śledził VexTrio od dwóch lat i zwrócił uwagę na oznaki kompromisu, o których powinny wiedzieć środowiska IT.

Co ciekawe, jedną ze odmian szkodliwego oprogramowania dystrybuowanego za pośrednictwem VexTrio jest SocGholish (znany również jako FakeUpdates), który w styczniu stał się najpopularniejszym złośliwym oprogramowaniem, atakując cztery procent obserwowanych organizacji na całym świecie. SocGholish, napisany w JavaScript, uruchamia się podczas odwiedzania zaatakowanej witryny internetowej i atakuje komputery z systemem Windows, udając aktualizację przeglądarki. Po zaakceptowaniu i uruchomieniu infekuje komputer ofiary złośliwym oprogramowaniem typu backdoor, oprogramowaniem ransomware i innymi złośliwymi elementami.