VexTrio 惡意網路傳播惡意軟體

研究人員發現，超過 70,000 個看似合法的網站已被接管並納入名為 VexTrio 的網絡，犯罪分子利用該網絡傳播惡意軟體、部署網絡釣魚頁面和共享其他非法內容。該網路自 2017 年或更早開始活躍，其運作方式與行銷中使用的流量分配系統 (TDS) 類似，可根據使用者的興趣將使用者引導至特定網站。 VexTrio 危害了數以萬計的網站，將訪客重新導向至託管惡意軟體下載的頁面、用於竊取憑證的虛假登入介面或參與其他詐騙網路活動。

VexTrio 的工作原理與 MaaS 類似

據報道，大約 60 家附屬機構參與了 VexTrio 網路。一些合作夥伴提供受感染的網站，將用戶發送到 VexTrio 的 TDS 基礎設施，然後該基礎設施根據特定標準引導受害者的瀏覽器訪問有害頁面。 VexTrio 向詐騙網站背後的犯罪分子收取引導網路流量的費用，而負責提供受感染網站的人則獲得一定的利潤。 TDS 也會引導用戶造訪由 VexTrio 人員經營的詐騙網站，使他們能夠直接從詐騙活動中受益。

Check Point 在 1 月全球威脅指數中，由於其廣泛的影響範圍和複雜的設置，將 VexTrio 列為重大安全風險。這項評估與 Infoblox 最近的一項調查相符，該調查將 VexTrio 標記為對其客戶的「單一最普遍的威脅」。 Infoblox 已經追蹤 VexTrio 兩年了，並強調了 IT 環境應該注意的妥協跡象。

有趣的是，透過 VexTrio 分發的一種惡意軟體是 SocGholish（又名 FakeUpdates），它成為 1 月最受歡迎的惡意軟體，影響了全球 4% 的觀察組織。 SocGholish 是用 JavaScript 編寫的，在訪問受感染的網站時被觸發，並透過冒充瀏覽器更新來針對 Windows 電腦。一旦被接受並執行，它就會用後門惡意軟體、勒索軟體和其他惡意元素感染受害者的電腦。