VexTrio 恶意网络传播恶意软件
研究人员发现,超过 70,000 个看似合法的网站已被接管并纳入名为 VexTrio 的网络,犯罪分子利用该网络传播恶意软件、部署网络钓鱼页面和共享其他非法内容。该网络自 2017 年或更早开始活跃,其运作方式与营销中使用的流量分配系统 (TDS) 类似,可根据用户的兴趣将用户引导至特定网站。 VexTrio 危害了数以万计的网站,将访问者重定向到托管恶意软件下载的页面、用于窃取凭据的虚假登录界面或参与其他欺诈性网络活动。
VexTrio 的工作原理与 MaaS 类似
据报道,大约 60 家附属机构参与了 VexTrio 网络。一些合作伙伴提供受感染的网站,将用户发送到 VexTrio 的 TDS 基础设施,然后该基础设施根据特定标准引导受害者的浏览器访问有害页面。 VexTrio 向欺诈网站背后的犯罪分子收取引导网络流量的费用,而那些负责提供受感染网站的人则获得一定的利润。 TDS 还会引导用户访问由 VexTrio 人员运营的诈骗网站,使他们能够直接从欺诈活动中受益。
Check Point 在其 1 月份全球威胁指数中,由于其广泛的影响范围和复杂的设置,将 VexTrio 列为重大安全风险。这一评估与 Infoblox 最近的一项调查相符,该调查将 VexTrio 标记为对其客户的“单一最普遍的威胁”。 Infoblox 已经跟踪 VexTrio 两年了,并强调了 IT 环境应该注意的妥协迹象。
有趣的是,通过 VexTrio 分发的一种恶意软件是 SocGholish(又名 FakeUpdates),它成为 1 月份最流行的恶意软件,影响了全球 4% 的观察组织。 SocGholish 是用 JavaScript 编写的,在访问受感染的网站时被触发,并通过冒充浏览器更新来针对 Windows 计算机。一旦被接受并执行,它就会用后门恶意软件、勒索软件和其他恶意元素感染受害者的电脑。