VexTrio
Les chercheurs d'Infosec ont découvert plus de 70 000 sites Web considérés comme légitimes qui ont été piratés et intégrés à un réseau utilisé par des criminels pour diffuser des logiciels malveillants, héberger des pages de phishing et partager d'autres contenus illicites. Ce réseau, appelé VexTrio, fonctionne principalement sans être détecté depuis sa création en 2017 ou peut-être avant. Toutefois, de récentes révélations ont apporté davantage d’informations sur la nature de cette opération.
Table des matières
VexTrio est une opération considérable qui pourrait entraîner de graves problèmes de sécurité
Le processus utilisé par les cybercriminels n'est pas si complexe, ressemblant aux systèmes de distribution de trafic (TDS) couramment utilisés dans le domaine du marketing pour guider les internautes vers des sites spécifiques en fonction de leurs intérêts ou de critères similaires.
Dans le contexte de VexTrio, des dizaines de milliers de sites Web sont compromis, redirigeant leurs visiteurs vers des pages facilitant le téléchargement de logiciels malveillants, affichant des interfaces de connexion contrefaites pour le vol d'identifiants ou se livrant à d'autres activités frauduleuses ou cybercriminelles.
On estime qu'environ 60 affiliés sont impliqués dans le réseau à divers titres. Certains partenaires contribuent aux sites Web compromis, dirigeant les cibles vers l'infrastructure TDS de VexTrio, qui oriente ensuite les navigateurs des victimes vers des pages nuisibles. Le TDS redirige généralement les individus uniquement s'ils répondent à des critères spécifiques.
VexTrio facture des frais aux individus exploitant des sites frauduleux pour canaliser le trafic Web vers eux, les individus qui ont fourni les sites Web compromis recevant également une part. De plus, le TDS peut guider les utilisateurs vers des sites Web frauduleux exploités par l'équipe VexTrio elle-même, permettant aux criminels de profiter directement de leurs activités frauduleuses. VexTrio présente un risque de sécurité important en raison de sa portée étendue et de sa configuration sophistiquée.
VexTrio est utilisé pour transmettre des menaces de logiciels malveillants nuisibles aux victimes
L'une des souches de logiciels malveillants distribuées via VexTrio est SocGholish , également connue sous le nom de FakeUpdates, et elle est devenue l'une des souches de logiciels malveillants les plus répandues depuis le début de 2024.
SocGholish, codé en JavaScript, s'active généralement lorsqu'un utilisateur visite un site Web compromis. Il cible spécifiquement les machines Windows, se présentant comme une mise à jour du navigateur. S’il est autorisé à être installé puis exécuté par l’utilisateur sans méfiance, SocGholish infecte son PC avec des logiciels malveillants de porte dérobée, des ransomwares et d’autres composants malveillants. Notamment, SocGholish a été observé en train de livrer GootLoader , Dridex , NetSupport , DoppelPaymer et AZORult sur les machines des victimes. Le malware est attribué à un groupe à motivation financière identifié comme TA569 et UNC1543.
De plus, il existe des preuves suggérant que VexTrio est utilisé pour distribuer le logiciel malveillant ClearFake, voleur d'informations.
Les groupes de ransomwares ont récolté des paiements de rançon record de la part des victimes
En 2023, les groupes cybercriminels spécialisés dans les menaces de ransomware ont connu une résurgence notable, dépassant le milliard de dollars de paiements et signalant une augmentation substantielle de l'ampleur et de la complexité de leurs attaques. Cela marque un écart significatif par rapport à la baisse observée en 2022. Les chercheurs soulignent que la tendance générale de 2019 à 2023 indique un problème persistant et croissant malgré une diminution temporaire des paiements de ransomwares en 2022. Il est essentiel de noter que le chiffre rapporté n'englobe pas le l’impact économique total, y compris la perte de productivité et les dépenses de réparation engagées par les victimes.
En effet, 2023 a été marquée par une augmentation significative de la fréquence, de l’ampleur et du volume des attaques de ransomwares orchestrées par un large éventail d’acteurs, notamment de grands syndicats, des petits groupes et des individus. L’émergence des Initial Access Brokers (IAB) a joué un rôle clé dans la facilitation de ces attaques en fournissant un accès aux réseaux, qu’ils ont ensuite vendus à des attaquants de ransomwares à un coût relativement faible.
En ce qui concerne la destination des fonds obtenus au titre du paiement des rançons, les bourses et les mélangeurs centralisés ont toujours été privilégiés pour les programmes de blanchiment. Cependant, en 2023, de nouveaux services, tels que les ponts, les échangeurs instantanés et les services de jeux d’argent, sont apparus et ont rapidement gagné du terrain.
