Los investigadores de ciberseguridad de Infoblox han revelado una nueva investigación sobre VexTrio, un «programa de afiliados criminal masivo» que, según el equipo, cuenta con más de cinco docenas de organizaciones criminales en su lista de clientes.
Como explicaron los investigadores, VexTrio es un sistema de dirección de tráfico (TDS) complejo y masivo. Funciona de manera similar a una red de afiliados de marketing legítima, en el sentido de que un actor de amenazas reenviará el tráfico de la víctima desde sus propios servicios (por ejemplo, sitios web comprometidos) a un servidor TDS bajo el control de VexTrio.
VexTrio luego lo reenviará a otras redes o páginas web de afiliados, o a sus propias campañas de phishing activas.
Piedra angular
Los investigadores comenzaron a rastrear la red a través de DNS en 2020, pero argumentan que el proyecto probablemente comenzó en 2017, si no antes. Hay más de 60 afiliados en el programa, incluidos nombres de alto perfil como SoCGholish o ClearFake. Algunos de los afiliados también gestionan sus propios TDS, explican los investigadores. A veces, buscarán monetizar sus campañas manteniendo el tráfico relevante para sus esfuerzos y transmitiendo el resto.
La operación de VexTrio es única en la forma en que proporciona una pequeña cantidad de servidores dedicados a cada afiliado, se dijo. Las asociaciones son saludables, ya que con algunas de sus filiales, como SoCGholish y ClearFake, han existido durante años. Las cadenas de ataques de VexTrio pueden incluir múltiples actores, explicaron los investigadores. “Hemos observado a cuatro actores en una secuencia de ataque”, dijeron.
En algunos casos, VexTrio y sus afiliados abusan de los programas de referencia relacionados con McAfee y Benaughty.
«Debido al diseño complejo y la naturaleza enredada de la red de afiliados, es difícil lograr una clasificación y atribución precisas. Esta complejidad ha permitido a VexTrio prosperar sin dejar de tener nombre para la industria de la seguridad durante más de seis años», Renée Burton, jefa de inteligencia de amenazas. en Infoblox, dijo Las noticias de los piratas informáticos. Para Burton, VexTrio es el «capítulo de las afiliaciones contra el cibercrimen», ya que «el cibercrimen contra los consumidores a nivel mundial prospera porque estos intermediarios de tráfico pasan desapercibidos».
En consecuencia, bloquear el tráfico VexTrio en DNS significa bloquear todos los delitos relacionados«independientemente de lo que sea y de si lo sabes».