Según los investigadores, más de 70.000 sitios web presuntamente legítimos han sido secuestrados e incorporados a una red que los delincuentes utilizan para distribuir malware, publicar páginas de phishing y compartir otras cosas poco fiables. Esta red de sitios comprometidos se conoce como VexTrio y ha pasado desapercibida desde su inicio en 2017 o antes, aunque últimamente han surgido más detalles sobre la operación. El proceso es simple y refleja los sistemas de distribución de tráfico, o TDS, que el mundo del marketing utiliza para dirigir a los internautas a sitios particulares en función de sus intereses o similares. En el caso de VexTrio, decenas de miles de sitios web se ven comprometidos para que sus visitantes sean redirigidos a páginas que ofrecen descargas de malware, muestran páginas de inicio de sesión falsas para robar credenciales o realizan algún otro fraude o delito cibernético. Se dice que al menos 60 afiliados están involucrados de alguna manera en la red. Algunos socios proporcionan los sitios web comprometidos, que envían marcas a la propia infraestructura TDS de VexTrio, que a su vez dirige los navegadores de las víctimas a páginas dañinas. Por lo general, el TDS solo redirige a las personas si cumplen ciertos criterios. VexTrio cobra una tarifa a los delincuentes que dirigen los sitios fraudulentos por dirigir el tráfico web en su dirección, y los malhechores que proporcionaron los sitios web comprometidos en primer lugar obtienen una parte. Se nos dice que el TDS también envía a los internautas a sitios web fraudulentos operados por el propio grupo VexTrio, lo que permite a los delincuentes beneficiarse directamente de su fraude. En su índice de amenazas globales de enero, Check Point calificó el viernes a VexTrio como un riesgo de seguridad «considerable», citando su alcance y configuración sofisticada. «VexTrio es otro recordatorio de la mentalidad comercial que tiene el [cybercrime] «Se ha convertido la industria», comentó Maya Horowitz, vicepresidenta de investigación de Check Point. Esto sigue a una extensa investigación realizada por Infoblox publicada el mes pasado, con la ayuda del jefe de seguridad de información Randy McEoin, que concluyó que VexTrio era la «amenaza más generalizada» para sus propios clientes. De los más de 70.000 dominios conocidos del equipo de TDS, las referencias o enlaces a casi la mitad aparentemente fueron detectados en las redes de esos clientes. En su informe técnico, coescrito por McEoin y el investigador Christopher Kim, Infoblox reveló signos de compromiso que se pueden ver El taller de seguridad ha estado rastreando a VexTrio durante dos años y detectó al grupo por primera vez en junio de 2022. En aquel entonces, sin embargo, «no apreciamos completamente la amplitud de sus actividades y la profundidad de sus «Conexiones dentro de la industria del cibercrimen», dijo la empresa el mes pasado. Curiosamente, y tal vez como un indicador del alcance del TDS, una cepa de malware impulsada a través de VexTrio es SocGholish, también conocido como FakeUpdates, que encabezó la lista de Check Point del malware más frecuente en enero, afectando al cuatro por ciento de las organizaciones observadas en todo el mundo. Este descargador incluso superó a Qbot el mes pasado, que tuvo un impacto global del tres por ciento, según nos dicen. SocGholish, que está escrito en JavaScript, generalmente se activa al visitar un sitio web comprometido y apunta a máquinas con Windows, pretende ofrecer una actualización del navegador que, cuando es aceptada y ejecutada por una marca, infecta su PC con malware de puerta trasera, ransomware y otras cosas. En enero, se observó que SocGholish incorporaba GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult a las máquinas de las víctimas. Se cree que un equipo con motivación financiera rastreado como TA569 por Proofpoint y UNC1543 por Mandiant está detrás de SocGholish. Infoblox dijo que el malware ClearFake que roba información, documentado aquí por McEoin, también se envía a través de VexTrio. Además, según el informe de Check Point, y tal vez como era de esperar para cualquiera que siga los titulares de las noticias, los equipos de ransomware tuvieron un comienzo decente en 2024. Sin embargo, esta parte merece una gran advertencia. La empresa de seguridad basa esta información en alrededor de 200 sitios de filtración de grupos de ransomware, y estos no siempre son la medida más confiable de qué organizaciones han sufrido infecciones y por quién. Los delincuentes frecuentemente eliminan los nombres de las víctimas durante las negociaciones o, a veces, ni siquiera llegan a los sitios si pagan rápidamente. Además, los extorsionadores no siempre son las personas más honestas. Así que toma estos números con una buena cantidad de sal. Según las métricas de Check Point: LockBit3 fue responsable del 20 por ciento de los ataques reclamados, seguido de 8Base con el 10 por ciento y Akira con el nueve por ciento. Los dos últimos de esos tres son relativamente novatos que se hicieron un nombre en 2023 y no muestran signos de desaparecer. ®

Source link