Se están entregando grandes volúmenes de malware y otros contenidos maliciosos a redes en APAC, Australia, Nueva Zelanda y en todo el mundo como resultado de un conjunto de asociaciones cibercriminales maliciosas a gran escala lideradas por el actor de amenazas en gran medida secreto pero insidioso, VexTrio. Renée Burton, jefa de inteligencia de amenazas en Infoblox y ex alta ejecutiva de la Agencia de Seguridad Nacional de EE. UU., dijo a TechRepublic que la red internacional de VexTrio incluye relaciones con ClearFake, SocGholish y más de 60 afiliados clandestinos más. Burton recomienda que la industria de la seguridad cibernética en la región se centre más en descubrir y eliminar a los actores secretos de la capa intermedia como VexTrio, en lugar de malware de punto final o amenazas de phishing, e implementar medidas protectoras del sistema de nombres de dominio para bloquear dominios maliciosos. ¿Qué es VexTrio y por qué Australia y APAC están en su punto de mira? Formado hace más de seis años, VexTrio ha sido revelado por Infoblox como uno de los mayores y más antiguos intermediarios de tráfico web malicioso del mundo dirigido a empresas y usuarios de Internet de consumo. Infoblox estima que la amenaza VexTrio habrá tenido un valor de 10 billones de dólares en 2023 (15 billones de dólares australianos), y se prevé que aumentará a 25 billones de dólares (38 billones de dólares australianos) para 2025. VexTrio actúa como un sistema de distribución de tráfico, un término extraído de servicios de tráfico web similares en el mundo del marketing. Los usuarios atraídos a través de su red de afiliados internacionales pasan a otras entidades criminales, donde pueden ser atacados con malware y phishing (Figura A). Figura A: VexTrio actúa como intermediario en una red cibercriminal internacional. La investigación de Infoblox reveló que VexTrio ha formado asociaciones estratégicas con SocGholish y ClearFake, que utilizan marcos JavaScript maliciosos, así como con más de 60 afiliados clandestinos más. SocGholish se considera una de las tres principales amenazas mundiales en la actualidad. VexTrio quiere que los usuarios de Internet de los consumidores y empresas de APAC y Australia Burton dijo que los usuarios de Internet de las empresas y consumidores de Australia y Nueva Zelanda en APAC están en riesgo porque, a diferencia de algunos actores de amenazas que tienen una tendencia a no apuntar a ciertos países o regiones, VexTrio estaba esencialmente “después de Internet, ”Incluso en APAC y Australasia. VER: Las organizaciones australianas deben mantenerse al tanto de estas tendencias de seguridad cibernética. Operando en 32 idiomas, revelado a través del uso de captura automática por parte de la red para identificar el idioma del navegador de un usuario, Burton dijo que hay un volumen de quejas provenientes de la región. Dijo que los usuarios en Japón en particular son una fuente de un gran número de quejas. “Si piensas en una de las principales formas en que VexTrio y sus afiliados obtienen sus víctimas iniciales, una de las principales formas es a través del compromiso de WordPress”, dijo Burton. “Buscan en Internet sitios web que sean vulnerables a realizar diferentes tipos de ataques. No les importa dónde están”. Abriendo una ventana limitada a las operaciones del cibercrimen global La presentación parcial de VexTrio es una ventana a cómo opera el cibercrimen a nivel mundial y en APAC. Si bien los ciberdelincuentes suelen ser retratados como bandas de piratas informáticos o codificadores brillantes y solitarios, lo más frecuente es que “compren y vendan bienes y servicios como parte de una economía criminal más amplia”. “Algunos actores venden servicios de malware, y el malware como servicio permite a los compradores acceder fácilmente a la infraestructura para cometer delitos”, dijo Burton. “Estos proveedores de servicios también forman asociaciones estratégicas, similares a las que hacen las empresas legítimas, para ampliar los límites de sus operaciones”. Sin embargo, “tales relaciones se forjan en secreto y pueden incluir varios socios”, dijo, lo que hace que sea difícil desenredarlas y comprenderlas desde una perspectiva externa. Burton dijo que, a pesar de tener cierto conocimiento sobre VexTrio, su identidad y ubicación sigue siendo un misterio. Más cobertura de Australia ¿Cuáles son los signos comunes de un ataque VexTrio a una empresa? El método de ataque más común implementado por VexTrio y sus afiliados es un “compromiso inducido”, donde los actores comprometen sitios web vulnerables de WordPress e inyectan JavaScript malicioso en sus páginas HTML. Este script normalmente contiene un TDS que redirige a las víctimas a una infraestructura maliciosa y recopila información, como su dirección IP. A menudo, Burton dijo que los usuarios de las empresas encuentran estas páginas a través de los resultados de búsqueda de Google, y los sitios web afiliados a VexTrio se encuentran en la parte superior de los resultados de búsqueda y envían a los empleados “a una madriguera de conejo”. Una vez que han comprometido una máquina, y en particular a través de las extensiones del navegador Chrome, pueden enviar “cualquier cosa que quieran”, incluidos correos electrónicos de phishing. Los usuarios que han sido objeto de un ataque a través de VexTrio generalmente informan haber visto muchos anuncios y ventanas emergentes y/o no poder controlar más sus navegadores después de haber sido atacados. Les pueden robar sus credenciales o información financiera. ¿Qué pueden hacer los profesionales de TI de APAC para protegerse de VexTrio? Infoblox ha pedido más acciones colectivas de la industria dirigidas a intermediarios como VexTrio en lugar de malware de destino o páginas de phishing, que tienen la capacidad de “rotar de izquierda a derecha”. Dijo que ahí es donde se centra la industria y no en los sistemas de distribución de tráfico. PREMIUM: Es posible que las empresas quieran desarrollar una lista de verificación de evaluación de riesgos de seguridad. “Como industria, ya sea entre gobiernos o empresas comerciales, realmente nos centramos en el malware: hay clases sobre malware, conferencias sobre malware”, dijo Burtons. “No nos centramos en la infraestructura. La mayoría de los productos funcionan en la capa de seguridad del terminal, firewall y IP”. Burton añadió que la educación había tenido éxito en casos como el compromiso del correo electrónico empresarial. Dijo que podría implementarse de manera similar para advertir a los usuarios contra amenazas típicas relacionadas con VexTrio, como decir no cuando aparecen ventanas emergentes pidiendo a los usuarios que les permitan mostrar notificaciones. Implementar los mecanismos de protección de DNS disponibles Infoblox define el DNS protector como cualquier servicio de seguridad que analiza las consultas de DNS y toma medidas para mitigar las amenazas aprovechando el protocolo y la arquitectura de DNS existentes. Puede impedir el acceso a malware, ransomware y ataques de phishing en el origen, mejorando la seguridad de la red. Burton dijo que países como Australia tenían un historial de ofrecer DNS protectores de forma gratuita, y si este esfuerzo se ampliaba o había una mayor adopción, los dominios TDS podrían bloquearse. Esto detendría las amenazas en la capa intermedia, independientemente del malware del terminal o de la página de phishing. Recomendó que los profesionales de TI con sede en APAC utilicen el software DNS protector que está disponible para uso comercial para controlar las amenazas a nivel de DNS, ya sea que provengan de sus gobiernos locales, proveedores comerciales o “desarrollando el suyo propio”.
Leave a Reply