Les acteurs de la menace derrière ClearFake, SocGholish et des dizaines d’autres acteurs ont établi des partenariats avec une autre entité connue sous le nom de VexTrio dans le cadre d’un vaste « programme d’affiliation criminel », révèlent de nouvelles découvertes d’Infoblox.
Ce dernier développement démontre « l’étendue de leurs activités et la profondeur de leurs liens au sein de l’industrie de la cybercriminalité », a déclaré la société. ditdécrivant VexTrio comme « le plus grand courtier de trafic malveillant décrit dans la littérature sur la sécurité ».
VexTrio, qui serait actif depuis au moins 2017, a été attribué à campagnes malveillantes qui utilisent des domaines générés par un algorithme de génération de domaines de dictionnaire (DDGA) pour propager des escroqueries, des logiciels à risque, des logiciels espions, des logiciels publicitaires, des programmes potentiellement indésirables (PUP) et du contenu pornographique.
Cela inclut également un cluster d’activités de 2022 qui a distribué le malware Glupteba à la suite d’une tentative antérieure de Google de supprimer une partie importante de son infrastructure en décembre 2021.
En août 2023, le groupe a orchestré une attaque généralisée impliquant des sites Web WordPress compromis qui redirigent sous condition les visiteurs vers des domaines intermédiaires de commande et de contrôle (C2) et DDGA.
Ce qui a rendu les infections significatives, c’est le fait que l’auteur de la menace a exploité le protocole DNS (Domain Name System) pour récupérer les URL de redirection, agissant ainsi comme un système de distribution (ou de livraison ou de direction) du trafic (TDS) basé sur le DNS.
On estime que VexTrio exploite un réseau de plus de 70 000 domaines connus, négociant le trafic pour jusqu’à 60 affiliés, dont ClearFake, SocGholish et TikTok Refresh.
« VexTrio gère son programme d’affiliation d’une manière unique, en fournissant un petit nombre de serveurs dédiés à chaque affilié », a déclaré Infoblox dans un rapport approfondi partagé avec The Hacker News. « Les relations d’affiliation de VexTrio semblent anciennes. »
Non seulement ses chaînes d’attaque peuvent inclure plusieurs acteurs, mais VexTrio contrôle également plusieurs réseaux TDS pour diriger les visiteurs du site vers du contenu illégitime en fonction de leurs attributs de profil (par exemple géolocalisation, cookies du navigateur et paramètres de langue du navigateur) afin de maximiser les profits, tout en filtrant les attaques. le reste.
Ces attaques utilisent des infrastructures appartenant à différentes parties dans lesquelles les affiliés participants transfèrent le trafic provenant de leurs propres ressources (par exemple, des sites Web compromis) vers des serveurs TDS contrôlés par VexTrio. Dans la phase suivante, ce trafic est relayé vers d’autres sites frauduleux ou réseaux d’affiliation malveillants.
« Le réseau de VexTrio utilise un TDS pour consommer le trafic Web d’autres cybercriminels, ainsi que pour vendre ce trafic à ses propres clients », ont indiqué les chercheurs. « TDS de VexTrio est un serveur de cluster vaste et sophistiqué qui exploite des dizaines de milliers de domaines pour gérer tout le trafic réseau qui le traverse. »
Le TDS exploité par VexTrio est disponible en deux versions, l’une basée sur HTTP qui gère les requêtes d’URL avec différents paramètres, et une autre basée sur DNS, cette dernière ayant commencé à être utilisée pour la première fois en juillet 2023.
Il convient de noter à ce stade que, même si SocGholish (alias FakeUpdates) est une filiale de VexTrio, elle exploite également d’autres serveurs TDS, tels que Keitaro et Parrot TDS, ce dernier agissant comme un mécanisme de redirection du trafic Web vers l’infrastructure SocGholish.
Selon l’unité 42 de Palo Alto Networks, Parrot TDS est actif depuis octobre 2021, bien qu’il existe des preuves suggérant qu’il pourrait être présent dès août 2019.
« Les sites Web dotés de Parrot TDS contiennent des scripts malveillants injectés dans le code JavaScript existant hébergé sur le serveur », explique la société. noté dans une analyse la semaine dernière. « Ce script injecté se compose de deux composants : un script d’atterrissage initial qui profile la victime et un script de charge utile qui peut diriger le navigateur de la victime vers un emplacement ou un élément de contenu malveillant. »
Les injections, à leur tour, sont facilitées par l’exploitation de failles de sécurité connues dans les systèmes de gestion de contenu (CMS) tels que WordPress et Joomla !
Les vecteurs d’attaque adoptés par le réseau d’affiliation VexTrio pour collecter le trafic des victimes ne sont pas différents dans la mesure où ils ciblent principalement les sites Web exécutant une version vulnérable du logiciel WordPress pour insérer du JavaScript malveillant dans leurs pages HTML.
Dans un cas identifié par Infobox, un site Web compromis basé en Afrique du Sud s’est avéré avoir reçu du JavaScript de ClearFake, SocGholish et VexTrio.
Ce n’est pas tout. En plus de contribuer au trafic Web à de nombreuses cyber-campagnes, VexTrio est également soupçonné d’en mener certaines, gagnant de l’argent en abusant des programmes de parrainage et en recevant du trafic Web d’un affilié, puis en revendant ce trafic à un acteur menaçant en aval.
« Le modèle économique avancé de VexTrio facilite les partenariats avec d’autres acteurs et crée un écosystème durable et résilient extrêmement difficile à détruire », a conclu Infoblox.
« En raison de la conception complexe et de la nature complexe du réseau d’affiliation, une classification et une attribution précises sont difficiles à réaliser. Cette complexité a permis à VexTrio de prospérer tout en restant anonyme dans le secteur de la sécurité pendant plus de six ans.