{"id":1148973,"date":"2024-01-23T17:21:54","date_gmt":"2024-01-23T17:21:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/vextrio-el-uber-del-cibercrimen-intermediacion-de-malware-para-mas-de-60-afiliados\/"},"modified":"2024-01-23T17:21:58","modified_gmt":"2024-01-23T17:21:58","slug":"vextrio-el-uber-del-cibercrimen-intermediacion-de-malware-para-mas-de-60-afiliados","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/vextrio-el-uber-del-cibercrimen-intermediacion-de-malware-para-mas-de-60-afiliados\/","title":{"rendered":"VexTrio: El Uber del cibercrimen: intermediaci\u00f3n de malware para m\u00e1s de 60 afiliados"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Los actores de amenazas detr\u00e1s de ClearFake, SocGholish y docenas de otros actores han establecido asociaciones con otra entidad conocida como VexTrio<\/strong> como parte de un “programa de afiliados criminal” masivo, revelan nuevos hallazgos de Infoblox.<\/p>\n

El \u00faltimo desarrollo demuestra la “amplitud de sus actividades y la profundidad de sus conexiones dentro de la industria del cibercrimen”, dijo la compa\u00f1\u00eda. dicho<\/a>que describe a VexTrio como el “agente de tr\u00e1fico malicioso m\u00e1s grande descrito en la literatura de seguridad”.<\/p>\n

VexTrio, que se cree que ha estado activo desde al menos 2017, se ha atribuido a campa\u00f1as maliciosas<\/a> que utilizan dominios generados por un algoritmo de generaci\u00f3n de dominios de diccionario (ddga<\/a>) para propagar estafas, software de riesgo, software esp\u00eda, software publicitario, programas potencialmente no deseados (PUP) y contenido pornogr\u00e1fico.<\/p>\n

Esto tambi\u00e9n incluye un grupo de actividades de 2022 que distribuy\u00f3 el malware Glupteba luego de un intento anterior de Google de eliminar una parte importante de su infraestructura en diciembre de 2021.<\/p>\n

En agosto de 2023, el grupo orquest\u00f3 un ataque generalizado que involucr\u00f3 sitios web de WordPress comprometidos que redirigen condicionalmente a los visitantes a dominios intermediarios de comando y control (C2) y DDGA.<\/p>\n

Lo que hizo que las infecciones fueran significativas fue el hecho de que el actor de la amenaza aprovech\u00f3 el protocolo del Sistema de nombres de dominio (DNS) para recuperar las URL de redireccionamiento, actuando efectivamente como un sistema de distribuci\u00f3n (o entrega o direcci\u00f3n) de tr\u00e1fico (TDS) basado en DNS.<\/p>\n

\"La<\/a><\/center><\/div>\n

Se estima que VexTrio opera una red de m\u00e1s de 70.000 dominios conocidos y gestiona el tr\u00e1fico de hasta 60 afiliados, incluidos ClearFake, SocGholish y TikTok Refresh.<\/p>\n

“VexTrio opera su programa de afiliados de una manera \u00fanica, proporcionando una peque\u00f1a cantidad de servidores dedicados a cada afiliado”, dijo Infoblox en un informe detallado compartido con The Hacker News. “Las relaciones con los afiliados de VexTrio parecen ser de larga data”.<\/p>\n

\"Red<\/a><\/div>\n

Sus cadenas de ataque no solo pueden incluir m\u00faltiples actores, VexTrio tambi\u00e9n controla m\u00faltiples redes TDS para dirigir a los visitantes del sitio a contenido ileg\u00edtimo en funci\u00f3n de sus atributos de perfil (por ejemplo, geolocalizaci\u00f3n, cookies del navegador y configuraci\u00f3n de idioma del navegador) con el fin de maximizar las ganancias, mientras filtra el resto.<\/p>\n

Estos ataques presentan infraestructura propiedad de diferentes partes en la que los afiliados participantes reenv\u00edan el tr\u00e1fico procedente de sus propios recursos (por ejemplo, sitios web comprometidos) a servidores TDS controlados por VexTrio. En la siguiente fase, este tr\u00e1fico se retransmite a otros sitios fraudulentos o redes de afiliados maliciosas.<\/p>\n

“La red de VexTrio utiliza un TDS para consumir tr\u00e1fico web de otros ciberdelincuentes, as\u00ed como para vender ese tr\u00e1fico a sus propios clientes”, dijeron los investigadores. “El TDS de VexTrio es un servidor de cl\u00faster grande y sofisticado que aprovecha decenas de miles de dominios para gestionar todo el tr\u00e1fico de red que pasa a trav\u00e9s de \u00e9l”.<\/p>\n

\"Red<\/a><\/div>\n

El TDS operado por VexTrio viene en dos versiones, uno basado en HTTP que maneja consultas de URL con diferentes par\u00e1metros, y otro basado en DNS, el \u00faltimo de los cuales comenz\u00f3 a utilizarse por primera vez en julio de 2023.<\/p>\n

Vale la pena se\u00f1alar en esta etapa que, si bien SocGholish (tambi\u00e9n conocido como FakeUpdates) es un afiliado de VexTrio, tambi\u00e9n opera otros servidores TDS, como Keitaro y Parrot TDS, y este \u00faltimo act\u00faa como un mecanismo para redirigir el tr\u00e1fico web a la infraestructura de SocGholish.<\/p>\n

Seg\u00fan la Unidad 42 de Palo Alto Networks, Parrot TDS ha estado activo desde octubre de 2021, aunque hay evidencia que sugiere que pudo haber existido ya en agosto de 2019.<\/p>\n

“Los sitios web con Parrot TDS tienen scripts maliciosos inyectados en el c\u00f3digo JavaScript existente alojado en el servidor”, dijo la empresa. anotado<\/a> en un an\u00e1lisis la semana pasada. “Este script inyectado consta de dos componentes: un script de inicio que perfila a la v\u00edctima y un script de carga \u00fatil que puede dirigir el navegador de la v\u00edctima a una ubicaci\u00f3n o contenido malicioso”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Las inyecciones, a su vez, se ven facilitadas por la explotaci\u00f3n de vulnerabilidades de seguridad conocidas en sistemas de gesti\u00f3n de contenidos (CMS) como WordPress y Joomla!<\/p>\n

Los vectores de ataque adoptados por la red de afiliados de VexTrio para recopilar tr\u00e1fico de v\u00edctimas no son diferentes en el sentido de que principalmente seleccionan sitios web que ejecutan una versi\u00f3n vulnerable del software WordPress para insertar JavaScript fraudulento en sus p\u00e1ginas HTML.<\/p>\n

En un caso identificado por Infobox, se descubri\u00f3 que un sitio web comprometido con sede en Sud\u00e1frica ten\u00eda JavaScript inyectado de ClearFake, SocGholish y VexTrio.<\/p>\n

Eso no es todo. Adem\u00e1s de contribuir con tr\u00e1fico web a numerosas campa\u00f1as cibern\u00e9ticas, tambi\u00e9n se sospecha que VexTrio lleva a cabo algunas propias, ganando dinero abusando de programas de referencia y recibiendo tr\u00e1fico web de un afiliado y luego revendiendo ese tr\u00e1fico a un actor de amenazas.<\/p>\n

“El modelo de negocio avanzado de VexTrio facilita las asociaciones con otros actores y crea un ecosistema sostenible y resiliente que es extremadamente dif\u00edcil de destruir”, concluy\u00f3 Infoblox.<\/p>\n

“Debido al dise\u00f1o complejo y la naturaleza enredada de la red de afiliados, es dif\u00edcil lograr una clasificaci\u00f3n y atribuci\u00f3n precisas. Esta complejidad ha permitido que VexTrio florezca mientras permanece an\u00f3nimo para la industria de la seguridad durante m\u00e1s de seis a\u00f1os”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n