Rede maliciosa VexTrio espalha malware
Os pesquisadores descobriram que mais de 70.000 sites aparentemente legítimos foram controlados e incorporados a uma rede, conhecida como VexTrio, utilizada por criminosos para distribuir malware, implantar páginas de phishing e compartilhar outros conteúdos ilícitos. Esta rede, ativa desde 2017 ou antes, funciona de forma semelhante aos sistemas de distribuição de tráfego (TDSes) utilizados em marketing para direcionar os utilizadores a sites específicos com base nos seus interesses. O VexTrio compromete dezenas de milhares de sites, redirecionando seus visitantes para páginas que hospedam downloads de malware, interfaces de login falsas para roubo de credenciais ou envolvimento em outras atividades cibernéticas fraudulentas.
VexTrio funciona de forma semelhante ao MaaS
Aproximadamente 60 afiliados estão supostamente envolvidos na rede VexTrio. Alguns parceiros contribuem com sites comprometidos, enviando os usuários para a infraestrutura TDS da VexTrio, que então orienta os navegadores das vítimas para páginas prejudiciais com base em critérios específicos. A VexTrio cobra taxas dos criminosos por trás dos sites fraudulentos para direcionar o tráfego da web, e os responsáveis por fornecer os sites comprometidos recebem uma parte dos lucros. O TDS também direciona os usuários para sites fraudulentos operados pela equipe do VexTrio, permitindo que eles se beneficiem diretamente de suas atividades fraudulentas.
A Check Point, em seu índice global de ameaças de janeiro, classificou o VexTrio como um risco de segurança significativo devido ao seu amplo alcance e configuração sofisticada. Esta avaliação está alinhada com uma investigação recente da Infoblox, que rotulou o VexTrio como a “ameaça mais difundida” aos seus clientes. A Infoblox acompanha o VexTrio há dois anos e destacou sinais de comprometimento dos quais os ambientes de TI devem estar cientes.
Curiosamente, uma variedade de malware distribuído através do VexTrio é o SocGholish (também conhecido como FakeUpdates), que se tornou o malware mais prevalente em janeiro, afetando quatro por cento das organizações observadas em todo o mundo. O SocGholish, escrito em JavaScript, é acionado ao visitar um site comprometido e tem como alvo máquinas Windows, fazendo-se passar por uma atualização do navegador. Uma vez aceito e executado, ele infecta o PC da vítima com malware backdoor, ransomware e outros elementos maliciosos.