VexTrio 恶意网络传播恶意软件

研究人员发现，超过 70,000 个看似合法的网站已被接管并纳入名为 VexTrio 的网络，犯罪分子利用该网络传播恶意软件、部署网络钓鱼页面和共享其他非法内容。该网络自 2017 年或更早开始活跃，其运作方式与营销中使用的流量分配系统 (TDS) 类似，可根据用户的兴趣将用户引导至特定网站。 VexTrio 危害了数以万计的网站，将访问者重定向到托管恶意软件下载的页面、用于窃取凭据的虚假登录界面或参与其他欺诈性网络活动。

VexTrio 的工作原理与 MaaS 类似

据报道，大约 60 家附属机构参与了 VexTrio 网络。一些合作伙伴提供受感染的网站，将用户发送到 VexTrio 的 TDS 基础设施，然后该基础设施根据特定标准引导受害者的浏览器访问有害页面。 VexTrio 向欺诈网站背后的犯罪分子收取引导网络流量的费用，而那些负责提供受感染网站的人则获得一定的利润。 TDS 还会引导用户访问由 VexTrio 人员运营的诈骗网站，使他们能够直接从欺诈活动中受益。

Check Point 在其 1 月份全球威胁指数中，由于其广泛的影响范围和复杂的设置，将 VexTrio 列为重大安全风险。这一评估与 Infoblox 最近的一项调查相符，该调查将 VexTrio 标记为对其客户的“单一最普遍的威胁”。 Infoblox 已经跟踪 VexTrio 两年了，并强调了 IT 环境应该注意的妥协迹象。

有趣的是，通过 VexTrio 分发的一种恶意软件是 SocGholish（又名 FakeUpdates），它成为 1 月份最流行的恶意软件，影响了全球 4% 的观察组织。 SocGholish 是用 JavaScript 编写的，在访问受感染的网站时被触发，并通过冒充浏览器更新来针对 Windows 计算机。一旦被接受并执行，它就会用后门恶意软件、勒索软件和其他恶意元素感染受害者的电脑。