'VexTrio' TDS: מבצע פשעי הסייבר הגדול ביותר ברשת?

'VexTrio' TDS: מבצע פשעי הסייבר הגדול ביותר ברשת?

חותמת זמן: 23 בינואר 2024 9:00
'VexTrio' TDS: מבצע פשעי הסייבר הגדול ביותר ברשת? PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

מפעיל מערכת הפצת תעבורה אחת (TDS) המחזיק ביותר מ-70,000 דומיינים מסייע בהונאות, דיוג ותוכנות זדוניות בקנה מידה חסר תקדים.

הקבוצה, "VexTrio", אינה ידועה בקמפיינים הזדוניים שלה, אם כי היא מרטיבה את רגליה מדי פעם בפשעי סייבר. במקום זאת, הוא מסתדר רשת TDS חיבור בין גורמי איומים שמתפשרים על אתרי אינטרנט פגיעים לאלה המארחים תוכן זדוני.

למרות ש-VexTrio היא לא זו עם האצבע על ההדק, אין לזלזל ביכולת שלה להפיץ עוולות באינטרנט. Infoblox, שפרסם דו"ח מפורט על הקבוצה ב-23 בינואר, מאפיין אותה כשחקן האיום הנפוץ ביותר בטבע, ונוגע ביותר ממחצית הארגונים שאחריהם פיקח בשנתיים האחרונות.

"זהו האיום היחיד הגדול, הנפוץ והמתמשך ביותר שיש לנו ברשתות הלקוחות שלנו", אומרת רנה ברטון, ראש מודיעין איומים ב-Infoblox. "כמעט כל סוג של רשת שאנו רואים תהיה בה את הפעילות הזו."

איך VexTrio TDS עובד

VexTrio מפעילה אשכול של יותר מ-70,000 דומיינים המשתנים ללא הרף - מפלצת ניתוב מחדש, המשמשת לקליטת תעבורה ממשאבים הנשלטים על ידי יותר מ-60 קבוצות השותפים שלה לפשעי סייבר.

לעתים קרובות מדובר באתרי וורדפרס שנפגעו. לדוגמה, SocGholish ו-ClearFake, זוג מבני זמננו המפורסמים ביותר של VexTrio, נודעו בכך שהחדירו לאתרים חשופים ב-JavaScript זדוני שמנחה משתמשים התראות מזויפות של עדכון דפדפן

שרתי ה-TDS של VexTrio מסננים במהירות תעבורה בהתבסס על מידע שנאסף מהגדרות הדפדפן והנתונים המאוחסנים במטמון, כולל מערכת ההפעלה של היעד, המיקום ונתונים אחרים שעלולים להיות רלוונטיים. אם הקורבן מתאים לפרופיל מוגדר מראש, הוא מנותב לתוכן זדוני של שותף אחר (או לפעמים, לרשת TDS של שותף עצמאי או לתוכן של VexTrio עצמו). כמו הקלט, תוכן הפלט הזה מפעיל את הסולם: אפליקציות מזויפות, טפסי אינטרנט של הונאה וכל מה שבאמצע.

הסדר זה מאפשר לתוקפים לזהות ולדחות תעבורה מחוקרי סייבר ומרשתות בוטים. הוא מתפקד כמאזן עומסים, מונע בזבוז משאבים על יעדים לא מכוונים, ומספק מדדים ש-VexTrio יכול להשתמש כדי לפקח על ביצועים ולהפיץ אשראי לשותפים. עם מודל VexTrio, התוקפים יכולים להתמחות בהיבטים של פשעי סייבר שהם עושים הכי טוב. אבל הכי חשוב, זה כלי למיקרו-מיקוד.

"אני קורבן שלוחץ על קישור, זה יכול היה להגיע מ-malvertising, יכול להיות שגלשתי באקראי באתר", מסביר ברטון. "אם חושבים על זה, זו אותה סיבה שמשתמשים במערכות הפצת תעבורה לגיטימיות. ישנם מתווכים שדואגים שבעלי אתרים יקבלו מהמפרסמים את מירב הכסף האפשרי, שהמפרסמים יקבלו את התוכן הרלוונטי ביותר. ועולם הפשע עובד בעצם באותה צורה".

איך VexTrio כל כך בלתי נראה ומתמשך

VexTrio משתמשת בשורה של טריקים כדי להתחמק מזיהוי: אלגוריתם לייצור דומיינים במילון (DDGA) ליצירת מספר רב של דומיינים מדי יום, רשתות מרובות שלבים של הפניות מחדש של TDS, שמות פרמטרים של שאילתת כתובת URL החופפים לקישורי הפניה המשמשים רשתות TDS לגיטימיות , וכולי.

VexTrio מחזיקה בנוסף מספר אתרים שנפגעו משלה, מה שבשילוב עם רשימת השותפים העצומה שלה, פירוש הדבר שהעסק שלה כמעט ולא יושפע אם כמה לקוחות יוסרו על ידי מגיני סייבר.

באופן משמעותי ביותר, VexTrio מרוויחה מלהופיע ברוב המובנים כמו כל רשת TDS לגיטימית אחרת. הוא מבצע את כל הפונקציות העסקיות הרגילות שעושים עמיתיו בפרסום מקוון - רק קהל הלקוחות שלו מתאים לפרופיל אחר.

ברטון מתבכיין, "קשה מאוד לחברות אבטחה או רישום לרדוף אחרי המתווך כי הם לא מארחים את התוכן הזדוני. הם רק החבר'ה המשלוחים, אז זה ממש קשה לאסוף עדויות לגביהם. מה אתה הולך להגיד? 'אני חושב שהתחום הזה מבצע הפנייה זדונית'. עכשיו תוכיח את זה. למעשה אין להם תוכנה זדונית.

"אז החלק האמצעי הזה - ה-TDS, הברוקר הזה - החבר'ה האלה הם יותר מתמידים, נפוצים יותר ויש להם תשתית יציבה יותר מהאתרים שנפגעו בצד שמאל שלהם או מהאתרים הזדוניים בצד הימני שלהם", היא מסבירה.

כדי להביא סוף סוף את המאבק למתווך, היא אומרת, "אנחנו יכולים לעשות הרבה יותר שיתוף פעולה ושיתוף. אנו תמיד ממליצים לאנשים לקבל הגנה מעמיקה. ובתקווה שגם הרשמים והרישום יהפכו לשחקן פרואקטיבי יותר בסביבת האבטחה ויחפשו סימנים ל-TDS זדוני".

"יש להודות שזה מאוד קשה לתעשיות האלה", מודה ברטון. "יש הרבה חוקים לגבי חופש באינטרנט שמפריעים לזה."

בול זמן:

עוד מ קריאה אפלה