Μέσα σε μια τεράστια επιχείρηση εγκλήματος στον κυβερνοχώρο 70.000 τομέων

Ένα μέχρι τότε άγνωστο σύστημα διανομής

κυκλοφορία

ς (TDS) με το όνομα «VexTrio» δραστηριοποιείται τουλάχιστον από το 2017, βοηθώντας 60 θυγατρικές

εταιρείες

στις επιχειρήσεις τους για το έγκλημα στον κυβερνοχώρο μέσω ενός τεράστιου δικτύου 70.000 τοποθεσιών.

Τα συστήματα διανομής επισκεψιμότητας (TDS) είναι υπηρεσίες που λαμβάνουν την εισερχόμενη κίνηση και ανακατευθύνουν τον χρήστη σε άλλο ιστότοπο ανάλογα με το λειτουργικό σύστημα, τη διεύθυνση IP, τη συσκευή, τη γεωγραφική περιοχή και άλλα κριτήρια του επισκέπτη.

Για νόμιμους λόγους, ένα TDS χρησιμοποιείται συνήθως στο μάρκετινγκ θυγατρικών. Ωστόσο, στο έγκλημα στον κυβερνοχώρο, ανακατευθύνουν ανυποψίαστους χρήστες σε κακόβουλους προορισμούς, όπως σελίδες ηλεκτρονικού ψαρέματος, κιτ εκμετάλλευσης και ιστότοπους απόθεσης κακόβουλου λογισμικού.

Μια τέτοια περίπτωση είναι το Parrot TDS, που τονίστηκε πρόσφατα σε μια αναφορά της Μονάδας 42 που παρουσίαζε αποδείξεις ότι η επιχείρηση παραμένει ενεργή και εξελισσόμενη.

Ενα νέο

αναφορά από το Infoblox

εστιάζει σε μια επιχείρηση TDS πολύ μεγαλύτερης κλίμακας που ονομάζεται VexTrio, η οποία συνεργάζεται με διαβόητες εκστρατείες εγκλήματος στον κυβερνοχώρο και φορείς όπως οι ClearFake και SocGholish, μεταξύ άλλων.

Εξυπηρέτηση του εγκλήματος στον κυβερνοχώρο από το 2017

Το VexTrio έχει αναγνωριστεί από το Infoblox ως μια εξαιρετικά διεισδυτική οντότητα στο τοπίο του εγκλήματος στον κυβερνοχώρο, που διοικεί ένα τεράστιο δίκτυο που παίζει κεντρικό ρόλο στη διανομή κακόβουλου περιεχομένου.

Το VexTrio ελέγχει πάνω από 70.000 παραβιασμένους ιστότοπους, απόδειξη της εκτεταμένης εμβέλειάς του, επιτρέποντας στην πλατφόρμα να διανέμει κακόβουλο περιεχόμενο στους επισκέπτες σε ένα ευρύ φάσμα ιστοτόπων και υπηρεσιών.

Συνήθως, οι ιστότοποι παραβιάζονται για να εισάγουν κακόβουλα σενάρια ανακατεύθυνσης στο HTML των ευάλωτων τοποθεσιών. Σε άλλες περιπτώσεις, οι φορείς απειλών απλώς δημιουργούν τους δικούς τους ιστότοπους και χρησιμοποιούν τακτικές SEO blackhat για να δημιουργήσουν επισκεψιμότητα.

Η πλατφόρμα λειτουργεί ως ενδιάμεσος διαμεσολαβητής επισκεψιμότητας σε αντάλλαγμα για χρήματα από ομάδες εγκλήματος στον κυβερνοχώρο, ανακατευθύνοντας τους επισκέπτες των ιστότοπων υπό τον έλεγχό της σε κακόβουλους προορισμούς πελατών.

Το VexTrio επεκτείνει επίσης την εμβέλειά του συνεργαζόμενος με τουλάχιστον 60 οντότητες ή θυγατρικές εταιρείες, οι οποίες προωθούν επισκεψιμότητα από τους πόρους τους, όπως παραβιασμένους ιστότοπους, στους διακομιστές TDS της VexTrio.

Το Infoblox σημειώνει ότι αυτές οι συνεργασίες δεν φαίνονται βραχύβιες, καθώς παρατήρησαν περιπτώσεις που επεκτάθηκαν έως και για τέσσερα χρόνια, δείχνοντας υψηλό επίπεδο εμπιστοσύνης και αμοιβαίου οφέλους.

Ένας από τους συνεργάτες της VexTrio είναι

ClearFake

μια καμπάνια κακόβουλου λογισμικού που εμφανίζει μηνύματα σε ιστοτόπους που έχουν παραβιαστεί και λέει στους επισκέπτες να εγκαταστήσουν ψεύτικες ενημερώσεις προγράμματος περιήγησης, οι οποίες εγκαθιστούν κακόβουλο λογισμικό στη συσκευή.

Το ClearFake είναι θυγατρική της VexTrio

εδώ

και πέντε μήνες, αλλά αντί να προωθεί απευθείας την κυκλοφορία στους διακομιστές TDS της πλατφόρμας, χρησιμοποιεί την υπηρεσία Keitaro ως ενδιάμεσο σημείο ανακατεύθυνσης.

Η καμπάνια κακόβουλου λογισμικού SocGholish έχει επίσης συνεργαστεί με το VexTrio τουλάχιστον από τον Απρίλιο του 2022, σύμφωνα με το Infoblox, βασιζόμενη επίσης στην υπηρεσία Keitaro TDS για μια αναπήδηση στο μέσο. Ιστορικά, το SocGholish χρησιμοποιήθηκε από συμμορίες ransomware για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.

Η ποικιλία και η πολυπλοκότητα στις αλυσίδες επίθεσης, που περιλάμβαναν πολλαπλούς παράγοντες απειλών, καθιστούν δύσκολη τη χαρτογράφηση, τον εντοπισμό και τον μετριασμό της δραστηριότητας του VexTrio.

Διαφορετικές πηγές εσόδων

Επιπλέον, οι αναλυτές ανακάλυψαν ότι η VexTrio και οι θυγατρικές της συχνά κάνουν κατάχρηση προγραμμάτων παραπομπής από νόμιμες

πλατφόρμες

για να δημιουργήσουν έσοδα ανακατευθύνοντας τα θύματα σε αξιόπιστους ιστότοπους μέσω συνδέσμων συνεργατών.

Συνδυάζοντας τις δραστηριότητές τους με νόμιμες υπηρεσίες, η VexTrio και οι θυγατρικές της καθιστούν πιο δύσκολο τόσο για τους χρήστες όσο και για τα συστήματα ασφαλείας να διακρίνουν τις κακόβουλες δραστηριότητές τους.

Η αναφορά του Infoblox υπογραμμίζει μια πονηρή και παραπλανητική καμπάνια VexTrio με το όνομα «ρομπότ CAPTCHA», την οποία χρησιμοποιεί η ομάδα στις προσπάθειες δημιουργίας παραπομπών.

Σε αυτήν την καμπάνια, οι χρήστες που επισκέπτονται παραβιασμένους ιστότοπους ανακατευθύνονται σε αυτό που εμφανίζεται ως νόμιμη δοκιμή CAPTCHA, η οποία εξαπατά τον χρήστη να κάνει κλικ σε ένα κουμπί “Αποδοχή”, παραχωρώντας κατά λάθος στον ιστότοπο την άδεια να στέλνει ειδοποιήσεις push μέσω του προγράμματος περιήγησης του χρήστη.

Στη συνέχεια, οι διακομιστές του VexTrio μπορούν να προωθήσουν ψευδείς ειδοποιήσεις στο θύμα ανά πάσα στιγμή, μεταμφιεσμένες σε προειδοποιήσεις συστήματος, ειδοποιήσεις AV και άλλες φαινομενικά αξιόπιστες ειδοποιήσεις. Το VexTrio διασφαλίζει ακόμη ότι αυτές οι ειδοποιήσεις είναι στη σωστή γλώσσα χρησιμοποιώντας μονάδες JS για δυναμική προσαρμογή της γλώσσας με βάση τα δεδομένα του προγράμματος περιήγησης του χρήστη.

Κάνοντας κλικ στις παραπλανητικές ειδοποιήσεις μπορεί να οδηγήσει τα θύματα σε σελίδες προορισμού που δημιουργούν έσοδα από παραπομπές για το VexTrio.

Λαμβάνοντας υπόψη την πολυπλοκότητα, την ανθεκτικότητα και την ποικιλομορφία των ροών εσόδων και των αλυσίδων μόλυνσης, το VexTrio θα είναι πολύ δύσκολο να εξαλειφθεί, αν και ο εντοπισμός και η χαρτογράφηση των τοποθεσιών του είναι ένα σταθερό πρώτο βήμα.

Το Infoblox προτείνει στους χρήστες να μετριάσουν την απειλή περιορίζοντας την περιήγησή τους μόνο σε ιστότοπους με πιστοποίηση SSL, αποκλείοντας τις ειδοποιήσεις push στα προγράμματα περιήγησής τους και χρησιμοποιώντας εργαλεία αποκλεισμού διαφημίσεων που μπορούν να αποτρέψουν τη φόρτωση αναδυόμενων διαφημίσεων.