Um sistema de distribuição de tráfego (TDS) previamente desconhecido, chamado “VexTrio”, está ativo desde pelo menos 2017, auxiliando 60 afiliados em suas operações de crime cibernético através de uma enorme rede de 70.000 sites.
Os sistemas de distribuição de tráfego (TDS) são serviços que recebem tráfego e redirecionam o usuário para outro site de acordo com o sistema operacional do visitante, endereço IP, dispositivo, região geográfica, entre outros critérios.
Por razões legítimas, um TDS é comumente usado no marketing de afiliados.
No entanto, no crime cibernético, eles redirecionam usuários desavisados para destinos maliciosos, como páginas de phishing, kits de exploração e sites que soltam malwares.
Um exemplo é o Parrot TDS, destacado recentemente em um relatório da Unidade 42 que apresentou evidências da operação permanecer ativa e se desenvolvendo.
Um novo relatório da Infoblox se concentra em uma operação TDS em uma escala muito maior chamada VexTrio, que trabalha com notórias campanhas e operadores de crime cibernético como ClearFake e SocGholish, entre outros.
VexTrio foi identificado pela Infoblox como uma entidade altamente pervasiva no cenário de crime cibernético, comandando uma enorme rede que desempenha um papel central na distribuição de conteúdo malicioso.
VexTrio controla mais de 70.000 sites comprometidos, um testemunho de seu alcance extenso, permitindo que a plataforma distribua conteúdo malicioso para visitantes em uma ampla gama de sites e serviços.
Normalmente, os sites são hackeados para injetar scripts de redirecionamento malicioso no HTML de sites vulneráveis.
Em outros casos, os atores de ameaças simplesmente criam seus próprios sites e utilizam táticas de SEO blackhat para gerar tráfego.
A plataforma atua como um intermediário de tráfego em troca de dinheiro de grupos de crime cibernético, redirecionando os visitantes dos sites sob seu controle para destinos maliciosos dos clientes.
VexTrio também estende seu alcance ao se associar a pelo menos 60 entidades, ou afiliados, que encaminham tráfego de seus recursos, como sites comprometidos, para os servidores TDS do VexTrio.
Infoblox observa que essas parcerias não parecem ser efêmeras, pois eles observaram casos que se estenderam por até quatro anos, mostrando um alto nível de confiança e benefício mútuo.
Um dos parceiros do VexTrio é o ClearFake, uma campanha de malware que exibe prompts em sites hackeados dizendo aos visitantes para instalar atualizações falsas de navegador, que instalam malware no dispositivo.
ClearFake tem sido um afiliado do VexTrio por cinco meses, mas em vez de encaminhar diretamente tráfego para os servidores TDS da plataforma, ele usa o serviço Keitaro como um ponto de redirecionamento intermediário.
A campanha de malware SocGholish também colaborou com o VexTrio desde pelo menos abril de 2022, de acordo com Infoblox, também contando com o serviço TDS Keitaro para um salto intermediário.
Historicamente, SocGholish foi usado por gangues de ransomware para obter acesso inicial às redes corporativas.
A variedade e complexidade nas cadeias de ataque, que envolvem vários atores de ameaças, tornam a atividade do VexTrio difícil de mapear, detectar e mitigar.
Além disso, os analistas descobriram que o VexTrio e seus afiliados frequentemente abusam de programas de referência de plataformas legítimas para gerar receita redirecionando vítimas para sites confiáveis através de links de afiliados.
Ao entrelaçar suas operações com serviços legítimos, VexTrio e seus afiliados tornam mais desafiador para os usuários e sistemas de segurança discernir suas atividades maliciosas.
O relatório da Infoblox destaca uma astuta e enganosa campanha do VexTrio chamada "robot CAPTCHA", que o grupo usa em seus esforços de geração de referenciamento.
Nesta campanha, os usuários que visitam sites comprometidos são redirecionados para o que parece ser um teste CAPTCHA legítimo, que engana o usuário a clicar em um botão 'Permitir', concedendo inadvertidamente ao site permissão para enviar notificações push através do navegador do usuário.
Então, os servidores do VexTrio podem enviar notificações falsas à vítima a qualquer momento, disfarçadas de avisos do sistema, avisos de antivírus e outros alertas aparentemente credíveis.
VexTrio até mesmo garante que esses alertas estejam no idioma correto, usando módulos JS para ajustar dinamicamente o idioma com base nos dados do navegador do usuário.
Clicar nas notificações enganosas pode levar as vítimas a páginas de destino que geram receita de referência para o VexTrio.
Considerando a complexidade, a resistência e a diversidade em fluxos de receita e cadeias de infecção, o VexTrio será muito difícil de erradicar, embora a identificação e o mapeamento de seus sites seja um sólido primeiro passo.
Infoblox sugere que os usuários mitiguem a ameaça limitando sua navegação apenas a sites com certificação SSL, bloqueando notificações push em seus navegadores e usando ferramentas de bloqueio de anúncios que podem impedir o payload de anúncios pop-up.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...