VexTrio Malicious Network sprider skadlig programvara
Forskare har upptäckt att över 70 000 till synes legitima webbplatser har tagits över och införlivats i ett nätverk, känt som VexTrio, som används av kriminella för att distribuera skadlig programvara, distribuera nätfiskesidor och dela annat olagligt innehåll. Detta nätverk, aktivt sedan 2017 eller tidigare, fungerar på samma sätt som trafikdistributionssystem (TDS) som används i marknadsföring för att dirigera användare till specifika webbplatser baserat på deras intressen. VexTrio kompromissar tiotusentals webbplatser, omdirigerar sina besökare till sidor som innehåller skadliga nedladdningar, falska inloggningsgränssnitt för stöld av autentiseringsuppgifter eller ägnar sig åt andra bedrägliga cyberaktiviteter.
VexTrio fungerar på samma sätt som MaaS
Ungefär 60 affiliates rapporteras vara involverade i VexTrio-nätverket. Vissa partners bidrar med komprometterade webbplatser och skickar användare till VexTrios TDS-infrastruktur, som sedan guidar offrens webbläsare till skadliga sidor baserat på specifika kriterier. VexTrio tar ut avgifter från brottslingarna bakom de bedrägliga webbplatserna för att dirigera webbtrafik, och de som är ansvariga för att tillhandahålla de utsatta webbplatserna får en del av vinsten. TDS hänvisar också användare till bluffwebbplatser som drivs av VexTrio-teamet, vilket gör att de kan dra direkt nytta av deras bedrägliga aktiviteter.
Check Point, i sitt globala hotindex för januari, klassificerade VexTrio som en betydande säkerhetsrisk på grund av dess omfattande räckvidd och sofistikerade inställning. Denna bedömning överensstämmer med en nyligen genomförd undersökning av Infoblox, som märkte VexTrio som det "enda mest genomgripande hotet" mot sina kunder. Infoblox har spårat VexTrio i två år och lyft fram tecken på kompromiss som IT-miljöer bör vara medvetna om.
Intressant nog är en stam av skadlig programvara som distribueras via VexTrio SocGholish (alias FakeUpdates), som blev den vanligaste skadliga programvaran i januari och drabbade fyra procent av de observerade organisationerna världen över. SocGholish, skrivet i JavaScript, utlöses när du besöker en komprometterad webbplats och riktar sig till Windows-maskiner genom att posera som en webbläsaruppdatering. När den väl har godkänts och körts infekterar den offrets dator med bakdörr skadlig programvara, ransomware och andra skadliga element.