Ένα προηγουμένως άγνωστο σύστημα κατανομής κυκλοφορίας (Traffic Distribution System – TDS) με το όνομα ‘VexTrio‘ είναι ενεργό τουλάχιστον από το 2017, βοηθώντας 60 συνεργάτες στις εγκληματικές τους επιχειρήσεις μέσω ενός τεράστιου δικτύου από 70.000 ιστότοπους.

Δείτε επίσης: Το Υπουργείο Δικαιοσύνης των ΗΠΑ εστιάζει στο κυνήγι των DeFi χάκερ

Τα Traffic Distribution Systems (TDS) είναι υπηρεσίες που ανακατευθύνουν την εισερχόμενη κίνηση και ανακατευθύνουν το χρήστη σε άλλη ιστοσελίδα ανάλογα με το λειτουργικό σύστημα, τη διεύθυνση IP, τη συσκευή, τη γεωγραφική περιοχή και άλλα κριτήρια του επισκέπτη.

Για νόμιμους λόγους, ένα TDS χρησιμοποιείται συχνά στον τομέα του συνεργατικού μάρκετινγκ. Ωστόσο, στον κυβερνοεγκληματικό χώρο, ανακατευθύνουν τους απρόσεκτους χρήστες σε κακόβουλους προορισμούς όπως σελίδες phishing, εργαλεία εκμετάλλευσης και ιστότοπους που διανέμουν κακόβουλο λογισμικό.

Ένα τέτοιο περιστατικό είναι το Parrot TDS, το οποίο προβλήθηκε πρόσφατα σε έκθεση της Unit 42 που παρουσίαζε αποδείξεις για την ενεργή και αναπτυσσόμενη λειτουργία της.

Μία νέα αναφορά από την Infoblox επικεντρώνεται σε μια πολύ μεγαλύτερη επιχείρηση TDS με το όνομα VexTrio, η οποία συνεργάζεται με γνωστές εγκληματικές εκστρατείες και φορείς όπως η ClearFake και η SocGholish, ανάμεσα σε άλλους.

Η Infoblox αναγνώρισε την VexTrio ως μια ιδιαίτερα επιδραστική οντότητα στον κυβερνοεγκληματικό χώρο, με ένα τεράστιο δίκτυο που διαδραματίζει κεντρικό ρόλο στη διανομή κακόβουλου περιεχομένου.

Το VexTrio ελέγχει πάνω από 70.000 παραβιασμένες ιστοσελίδες, μια απόδειξη της εκτεταμένης επιρροής του, επιτρέποντας στην πλατφόρμα να διανέμει κακόβουλο περιεχόμενο σε επισκέπτες σε ένα ευρύ φάσμα ιστοσελίδων και υπηρεσιών.

Συνήθως, οι ιστότοποι υποκλέπτονται για να ενσωματώσουν κακόβουλα scripts ανακατεύθυνσης στον κώδικα HTML ευάλωτων ιστότοπων. Σε άλλες περιπτώσεις, οι δράστες απειλών απλώς δημιουργούν τους δικούς τους ιστότοπους και χρησιμοποιούν μεθόδους blackhat SEO για τη δημιουργία κίνησης.

Η πλατφόρμα λειτουργεί ως ένας μεσολαβητής κίνησης, λαμβάνοντας αμοιβή από ομάδες κυβερνοεγκληματιών και ανακατευθύνοντας τους επισκέπτες των ιστότοπων υπό τον έλεγχό της προς τους κακόβουλους προορισμούς των πελατών της.

Δείτε ακόμα: Twitter hack: Ο Joseph James O’Connor καταδικάστηκε σε πέντε χρόνια φυλάκιση

Η VexTrio επίσης επεκτείνει την επιρροή της συνεργαζόμενη με τουλάχιστον 60 εταιρείες ή συνεργάτες, οι οποίοι αποστέλλουν κίνηση από τους πόρους τους, όπως παραβιασμένες ιστοσελίδες, στους TDS διακομιστές της VexTrio.

Η Infoblox σημειώνει ότι αυτές οι συνεργασίες δε φαίνεται να είναι πρόσκαιρες, καθώς παρατήρησαν περιπτώσεις που διήρκεσαν έως και τέσσερα χρόνια, καταδεικνύοντας ένα υψηλό επίπεδο εμπιστοσύνης και αμοιβαίου οφέλους.

Ένας από τους συνεργάτες της VexTrio είναι η ClearFake, μια κακόβουλη εκστρατεία που εμφανίζει προτροπές σε χακαρισμένες ιστοσελίδες, παροτρύνοντας τους επισκέπτες να εγκαταστήσουν πλαστές ενημερώσεις προγραμμάτων περιήγησης, οι οποίες εγκαθιστούν κακόβουλο λογισμικό στη συσκευή.

Η ClearFake είναι συνεργάτης της VexTrio εδώ και πέντε μήνες, αλλά αντί να κατευθύνει απευθείας την κίνηση στους διακομιστές TDS της πλατφόρμας, χρησιμοποιεί την υπηρεσία Keitaro ως ένα ενδιάμεσο σημείο ανακατεύθυνσης.

Η καμπάνια κακόβουλου λογισμικού SocGholish συνεργάστηκε επίσης με την VexTrio από τουλάχιστον τον Απρίλιο του 2022, σύμφωνα με την Infoblox. Ιστορικά, το SocGholish χρησιμοποιήθηκε από συμμορίες ransomware για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.

Η ποικιλία και η πολυπλοκότητα στις αλυσίδες επιθέσεων, οι οποίες εμπλέκουν πολλούς δράστες απειλών, καθιστούν την δραστηριότητα του VexTrio δύσκολη στην ανίχνευση, την καταγραφή και την αντιμετώπιση.

Δείτε επίσης: Οι επιθέσεις ransomware γίνονται όλο και πιο συχνές και εξελιγμένες

Το Ransomware as a Service (RaaS) είναι ένα είδος εγκληματικής δραστηριότητας στον κυβερνοχώρο, όπου οι εγκληματίες προσφέρουν τις υπηρεσίες τους σε άλλους εγκληματίες ως υπηρεσία. Αυτό σημαίνει ότι οι εγκληματίες δεν χρειάζεται να έχουν τεχνικές γνώσεις για να εκτελέσουν μια επίθεση ransomware, καθώς μπορούν απλώς να αγοράσουν την υπηρεσία από έναν πάροχο RaaS.

Οι πάροχοι RaaS δημιουργούν και διατηρούν το λογισμικό ransomware, ενώ παρέχουν επίσης υποστήριξη στους πελάτες τους για την εκτέλεση της επίθεσης. Αυτό μπορεί να περιλαμβάνει την παροχή εκπαίδευσης, τεχνικής υποστήριξης και ακόμη και τη διαχείριση των λύτρων που απαιτούνται από τα θύματα.

Οι επιθέσεις RaaS συνήθως ακολουθούν την ίδια διαδικασία. Αρχικά, το ransomware εισάγεται στο σύστημα του θύματος, συνήθως μέσω ενός φαινομενικά ακίνδυνου αρχείου ή συνδέσμου. Αφού εγκατασταθεί, το ransomware κρυπτογραφεί τα δεδομένα του θύματος, καθιστώντας τα μη προσβάσιμα.

Στη συνέχεια, το ransomware εμφανίζει ένα μήνυμα στο θύμα, απαιτώντας λύτρα συνήθως σε μορφή κρυπτονομίσματος, για να αποκτήσουν ξανά πρόσβαση στα δεδομένα τους. Αν το θύμα πληρώσει, τότε ο εγκληματίας παρέχει τον κωδικό αποκρυπτογράφησης. Ωστόσο, δεν υπάρχει εγγύηση ότι ο εγκληματίας θα τηρήσει την υπόσχεσή του.

Πηγή: bleepingcomputer