VexTrio 惡意網路傳播惡意軟體
研究人員發現,超過 70,000 個看似合法的網站已被接管並納入名為 VexTrio 的網絡,犯罪分子利用該網絡傳播惡意軟體、部署網絡釣魚頁面和共享其他非法內容。該網路自 2017 年或更早開始活躍,其運作方式與行銷中使用的流量分配系統 (TDS) 類似,可根據使用者的興趣將使用者引導至特定網站。 VexTrio 危害了數以萬計的網站,將訪客重新導向至託管惡意軟體下載的頁面、用於竊取憑證的虛假登入介面或參與其他詐騙網路活動。
VexTrio 的工作原理與 MaaS 類似
據報道,大約 60 家附屬機構參與了 VexTrio 網路。一些合作夥伴提供受感染的網站,將用戶發送到 VexTrio 的 TDS 基礎設施,然後該基礎設施根據特定標準引導受害者的瀏覽器訪問有害頁面。 VexTrio 向詐騙網站背後的犯罪分子收取引導網路流量的費用,而負責提供受感染網站的人則獲得一定的利潤。 TDS 也會引導用戶造訪由 VexTrio 人員經營的詐騙網站,使他們能夠直接從詐騙活動中受益。
Check Point 在 1 月全球威脅指數中,由於其廣泛的影響範圍和複雜的設置,將 VexTrio 列為重大安全風險。這項評估與 Infoblox 最近的一項調查相符,該調查將 VexTrio 標記為對其客戶的「單一最普遍的威脅」。 Infoblox 已經追蹤 VexTrio 兩年了,並強調了 IT 環境應該注意的妥協跡象。
有趣的是,透過 VexTrio 分發的一種惡意軟體是 SocGholish(又名 FakeUpdates),它成為 1 月最受歡迎的惡意軟體,影響了全球 4% 的觀察組織。 SocGholish 是用 JavaScript 編寫的,在訪問受感染的網站時被觸發,並透過冒充瀏覽器更新來針對 Windows 電腦。一旦被接受並執行,它就會用後門惡意軟體、勒索軟體和其他惡意元素感染受害者的電腦。