TDS 'VexTrio': la più grande operazione di criminalità informatica sul web?

Un unico operatore del sistema di distribuzione del traffico (TDS) in possesso di oltre 70,000 domini sta agevolando truffe, phishing e infezioni malware su una scala senza precedenti.

Il gruppo "VexTrio" non è noto per le sue campagne dannose, anche se occasionalmente si bagna i piedi nel crimine informatico. Invece ci riesce una rete TDS collegare gli autori delle minacce che compromettono i siti Web vulnerabili con coloro che ospitano contenuti dannosi.

Sebbene VexTrio non sia quello con il dito sul grilletto, la sua capacità di diffondere illeciti su Internet non dovrebbe essere sottovalutata. Infoblox, che ha pubblicato un rapporto dettagliato sul gruppo il 23 gennaio, lo definisce come l'autore di minacce più diffuso in circolazione, toccando più della metà di tutte le organizzazioni monitorate negli ultimi due anni.

“Questa è la minaccia più grande, più pervasiva e più persistente che abbiamo nelle nostre reti di clienti”, afferma Renée Burton, responsabile dell’intelligence sulle minacce presso Infoblox. "Praticamente qualsiasi tipo di rete che vediamo avrà questa attività al suo interno."

Come funziona VexTrio TDS

VexTrio gestisce un cluster di oltre 70,000 domini in continua evoluzione: un mostro di reindirizzamento, utilizzato per assorbire il traffico dalle risorse controllate dai suoi oltre 60 gruppi affiliati di criminalità informatica.

Molto spesso si tratta di siti WordPress compromessi. Ad esempio, SocGholish e ClearFake, una coppia dei contemporanei più famosi di VexTrio, sono diventati famosi per aver iniettato nei siti esposti JavaScript dannoso che richiede agli utenti notifiche di aggiornamento del browser false

I server TDS di VexTrio filtrano rapidamente il traffico in base alle informazioni raccolte dalle impostazioni del browser e dai dati memorizzati nella cache, inclusi il sistema operativo del bersaglio, la posizione e altri dati potenzialmente rilevanti. Se la vittima corrisponde a un profilo predefinito, viene reindirizzata al contenuto dannoso di un altro affiliato (o, talvolta, alla rete TDS di un affiliato o al contenuto di VexTrio). Come l'input, questo contenuto di output copre tutta la gamma: app false, moduli web truffa e tutto il resto.

Questa disposizione consente agli aggressori di identificare e respingere il traffico proveniente da ricercatori informatici e botnet. Funziona come un bilanciatore del carico, previene lo spreco di risorse su obiettivi non previsti e fornisce metriche che VexTrio può utilizzare per monitorare le prestazioni e distribuire credito agli affiliati. Con il modello VexTrio, gli aggressori possono specializzarsi negli aspetti del crimine informatico che sanno fare meglio. Ma soprattutto, è uno strumento per il microtargeting.

"Sono una vittima che ha cliccato su un collegamento, potrebbe essere dovuto a malvertising, potrebbe essere stato che ho semplicemente navigato in modo casuale in un sito", spiega Burton. “Se ci pensi, è lo stesso motivo per cui vengono utilizzati sistemi legittimi di distribuzione del traffico. Esistono broker che si assicurano che gli editori di siti Web ricevano quanto più denaro possibile dagli inserzionisti e che gli inserzionisti ricevano i contenuti più applicabili. E il mondo criminale funziona sostanzialmente allo stesso modo”.

Come VexTrio è così invisibile e persistente

VexTrio utilizza una serie di trucchi per eludere il rilevamento: un algoritmo di generazione di domini del dizionario (DDGA) per generare dinamicamente un gran numero di domini ogni giorno, catene a più fasi di reindirizzamenti TDS, nomi di parametri di query URL che si sovrappongono ai collegamenti di riferimento utilizzati dalle reti TDS legittime. , e così via.

VexTrio mantiene inoltre una serie di siti Web compromessi, il che, combinato con il suo ampio elenco di affiliati, significa che la sua attività difficilmente verrà compromessa se alcuni clienti vengono eliminati dai difensori informatici.

Ancora più significativo, VexTrio trae vantaggio dall'apparire in molti modi come qualsiasi altra rete TDS legittima. Svolge tutte le normali funzioni aziendali svolte dalle sue controparti nella pubblicità online: solo che la sua clientela corrisponde a un profilo diverso.

Burton lamenta: “È molto difficile per le società di sicurezza oi registri perseguire l'intermediario perché non ospitano effettivamente il contenuto dannoso. Sono solo i fattorini, quindi raccogliere prove su di loro è davvero difficile. Cosa dirai? "Penso che questo dominio stia eseguendo un reindirizzamento dannoso." Ora dimostralo. In realtà non hanno alcun software dannoso.

"Quindi quella sezione centrale - il TDS, quel broker - quei ragazzi sono più persistenti, più pervasivi e hanno un'infrastruttura più stabile rispetto ai siti compromessi sul lato sinistro o ai siti dannosi sul lato destro", spiega.

Per portare finalmente la lotta all’intermediario, dice, “possiamo fare molta più collaborazione e condivisione. Raccomandiamo sempre che le persone abbiano una difesa approfondita. E si spera che anche i registrar e i registri diventino un attore più proattivo nell’ambiente della sicurezza e cerchino segni di TDS dannoso”.

"Certo, è molto difficile per queste industrie", ammette Burton. "Ci sono molte regole riguardanti la libertà su Internet che lo ostacolano."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/threat-intelligence/vextrio-tds-biggest-cybercrime-operation-web