Вредоносная сеть VexTrio распространяет вредоносное ПО

Исследователи обнаружили, что более 70 000 явно законных веб-сайтов были захвачены и включены в сеть, известную как VexTrio, используемую преступниками для распространения вредоносного ПО, размещения фишинговых страниц и обмена другим незаконным контентом. Эта сеть, активная с 2017 года или ранее, работает аналогично системам распределения трафика (TDS), используемым в маркетинге для направления пользователей на определенные сайты в зависимости от их интересов. VexTrio компрометирует десятки тысяч веб-сайтов, перенаправляя их посетителей на страницы, на которых размещены загрузки вредоносного ПО, поддельные интерфейсы входа в систему для кражи учетных данных или участие в других мошеннических кибердеятельности.

VexTrio работает аналогично MaaS

Сообщается, что в сети VexTrio участвуют около 60 филиалов. Некоторые партнеры предоставляют взломанные веб-сайты, направляя пользователей в инфраструктуру TDS VexTrio, которая затем направляет браузеры жертв на вредоносные страницы на основе определенных критериев. VexTrio взимает плату с преступников, стоящих за мошенническими сайтами, за перенаправление веб-трафика, а лица, ответственные за предоставление взломанных веб-сайтов, получают долю прибыли. TDS также направляет пользователей на мошеннические веб-сайты, управляемые командой VexTrio, что позволяет им напрямую получать выгоду от своей мошеннической деятельности.

Check Point в своем январском глобальном индексе угроз классифицировала VexTrio как значительную угрозу безопасности из-за его обширного охвата и сложной настройки. Эта оценка согласуется с недавним расследованием Infoblox, которое назвало VexTrio «самой распространенной угрозой» для своих клиентов. Infoblox отслеживает VexTrio в течение двух лет и выявил признаки компрометации, о которых следует знать ИТ-среде.

Интересно, что одним из штаммов вредоносного ПО, распространяемого через VexTrio, является SocGholish (также известный как FakeUpdates), который стал самым распространенным вредоносным ПО в январе, затронув четыре процента наблюдаемых организаций по всему миру. SocGholish, написанный на JavaScript, запускается при посещении взломанного веб-сайта и нацелен на компьютеры под управлением Windows, выдавая себя за обновление браузера. После принятия и выполнения он заражает компьютер жертвы вредоносным ПО, программами-вымогателями и другими вредоносными элементами.