VexTrio
Los investigadores de Infosec han descubierto más de 70.000 sitios web que se creían legítimos y que habían sido secuestrados e incorporados a una red utilizada por delincuentes para difundir malware, alojar páginas de phishing y compartir otros contenidos ilícitos. Esta red, conocida como VexTrio, ha operado principalmente sin ser detectada desde su creación en 2017 o posiblemente antes. Sin embargo, revelaciones recientes han sacado a la luz más información sobre la naturaleza de esta operación.
Tabla de contenido
VexTrio es una operación considerable que podría provocar graves problemas de seguridad
El proceso utilizado por los ciberdelincuentes no es tan complejo y se asemeja a los sistemas de distribución de tráfico (TDS) comúnmente utilizados en el ámbito del marketing para guiar a los usuarios de Internet a sitios específicos en función de sus intereses o criterios similares.
En el contexto de VexTrio, decenas de miles de sitios web se ven comprometidos, redirigiendo a sus visitantes a páginas que facilitan la descarga de malware, muestran interfaces de inicio de sesión falsificadas para el robo de credenciales o participan en otras actividades fraudulentas o cibercriminales.
Se cree que aproximadamente 60 afiliados participan en la red en diversas capacidades. Algunos socios contribuyen con sitios web comprometidos, dirigiendo los objetivos a la infraestructura TDS de VexTrio, que luego dirige los navegadores de las víctimas hacia páginas dañinas. El TDS normalmente redirige a las personas sólo si cumplen con criterios específicos.
VexTrio cobra una tarifa a las personas que operan sitios fraudulentos por canalizar el tráfico web en su dirección, y las personas que proporcionaron los sitios web comprometidos también reciben una parte. Además, el TDS puede guiar a los usuarios a sitios web fraudulentos operados por el propio grupo VexTrio, lo que permite a los delincuentes beneficiarse directamente de sus actividades fraudulentas. VexTrio plantea un riesgo de seguridad importante debido a su amplio alcance y configuración sofisticada.
VexTrio se utiliza para enviar amenazas de malware dañinas a las víctimas
Una cepa de malware distribuida a través de VexTrio es SocGholish , también conocida como FakeUpdates, y se ha convertido en una de las cepas de malware más frecuentes desde principios de 2024.
SocGholish, codificado en JavaScript, normalmente se activa cuando un usuario visita un sitio web comprometido. Se dirige específicamente a máquinas con Windows y se presenta como una actualización del navegador. Si el usuario desprevenido permite que lo instale y luego lo ejecute, SocGholish infecta su PC con malware de puerta trasera, ransomware y otros componentes maliciosos. En particular, se ha observado que SocGholish implementa GootLoader , Dridex , NetSupport , DoppelPaymer y AZORult en las máquinas de las víctimas. El malware se atribuye a un grupo con motivación financiera identificado como TA569 y UNC1543.
Además, hay pruebas que sugieren que VexTrio se utiliza para distribuir el malware ClearFake que roba información.
Los grupos de ransomware obtuvieron pagos récord de rescate por parte de las víctimas
En 2023, los grupos de ciberdelincuentes especializados en amenazas de ransomware experimentaron un resurgimiento notable, superando los mil millones de dólares en pagos y señalando un aumento sustancial en la escala y complejidad de sus ataques. Esto marcó una desviación significativa de la disminución observada en 2022. Los investigadores destacan que la tendencia general de 2019 a 2023 indica un problema persistente y creciente a pesar de una disminución temporal en los pagos de ransomware durante 2022. Es esencial tener en cuenta que la cifra informada no abarca la impacto económico total, incluyendo la pérdida de productividad y los gastos de reparación incurridos por las víctimas.
De hecho, en 2023 se produjo un aumento significativo en la frecuencia, escala y volumen de los ataques de ransomware orquestados por una amplia gama de actores, incluidos grandes sindicatos, grupos más pequeños e individuos. La aparición de los corredores de acceso inicial (IAB) jugó un papel clave a la hora de facilitar estos ataques al proporcionar acceso a las redes, que posteriormente vendieron a los atacantes de ransomware a un costo relativamente bajo.
En términos del destino de los fondos obtenidos como pagos de rescate, los intercambios centralizados y los mezcladores se han visto favorecidos sistemáticamente para los esquemas de lavado. Sin embargo, en 2023, surgieron nuevos servicios, como puentes, intercambiadores instantáneos y servicios de juegos de azar, que rápidamente ganaron fuerza.
