Les acteurs de la menace derri\u00e8re ClearFake, SocGholish et des dizaines d’autres acteurs ont \u00e9tabli des partenariats avec une autre entit\u00e9 connue sous le nom de VexTrio<\/strong> dans le cadre d’un vaste “programme d’affiliation criminel”, r\u00e9v\u00e8lent de nouvelles d\u00e9couvertes d’Infoblox.<\/p>\n Ce dernier d\u00e9veloppement d\u00e9montre \u00ab l’\u00e9tendue de leurs activit\u00e9s et la profondeur de leurs liens au sein de l’industrie de la cybercriminalit\u00e9 \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. dit<\/a>d\u00e9crivant VexTrio comme \u00ab le plus grand courtier de trafic malveillant d\u00e9crit dans la litt\u00e9rature sur la s\u00e9curit\u00e9 \u00bb.<\/p>\n VexTrio, qui serait actif depuis au moins 2017, a \u00e9t\u00e9 attribu\u00e9 \u00e0 campagnes malveillantes<\/a> qui utilisent des domaines g\u00e9n\u00e9r\u00e9s par un algorithme de g\u00e9n\u00e9ration de domaines de dictionnaire (DDGA<\/a>) pour propager des escroqueries, des logiciels \u00e0 risque, des logiciels espions, des logiciels publicitaires, des programmes potentiellement ind\u00e9sirables (PUP) et du contenu pornographique.<\/p>\n Cela inclut \u00e9galement un cluster d’activit\u00e9s de 2022 qui a distribu\u00e9 le malware Glupteba \u00e0 la suite d’une tentative ant\u00e9rieure de Google de supprimer une partie importante de son infrastructure en d\u00e9cembre 2021.<\/p>\n En ao\u00fbt 2023, le groupe a orchestr\u00e9 une attaque g\u00e9n\u00e9ralis\u00e9e impliquant des sites Web WordPress compromis qui redirigent sous condition les visiteurs vers des domaines interm\u00e9diaires de commande et de contr\u00f4le (C2) et DDGA.<\/p>\n Ce qui a rendu les infections significatives, c’est le fait que l’auteur de la menace a exploit\u00e9 le protocole DNS (Domain Name System) pour r\u00e9cup\u00e9rer les URL de redirection, agissant ainsi comme un syst\u00e8me de distribution (ou de livraison ou de direction) du trafic (TDS) bas\u00e9 sur le DNS.<\/p>\n On estime que VexTrio exploite un r\u00e9seau de plus de 70 000 domaines connus, n\u00e9gociant le trafic pour jusqu’\u00e0 60 affili\u00e9s, dont ClearFake, SocGholish et TikTok Refresh.<\/p>\n “VexTrio g\u00e8re son programme d’affiliation d’une mani\u00e8re unique, en fournissant un petit nombre de serveurs d\u00e9di\u00e9s \u00e0 chaque affili\u00e9”, a d\u00e9clar\u00e9 Infoblox dans un rapport approfondi partag\u00e9 avec The Hacker News. “Les relations d’affiliation de VexTrio semblent anciennes.”<\/p>\n Non seulement ses cha\u00eenes d’attaque peuvent inclure plusieurs acteurs, mais VexTrio contr\u00f4le \u00e9galement plusieurs r\u00e9seaux TDS pour diriger les visiteurs du site vers du contenu ill\u00e9gitime en fonction de leurs attributs de profil (par exemple g\u00e9olocalisation, cookies du navigateur et param\u00e8tres de langue du navigateur) afin de maximiser les profits, tout en filtrant les attaques. le reste.<\/p>\n Ces attaques utilisent des infrastructures appartenant \u00e0 diff\u00e9rentes parties dans lesquelles les affili\u00e9s participants transf\u00e8rent le trafic provenant de leurs propres ressources (par exemple, des sites Web compromis) vers des serveurs TDS contr\u00f4l\u00e9s par VexTrio. Dans la phase suivante, ce trafic est relay\u00e9 vers d’autres sites frauduleux ou r\u00e9seaux d’affiliation malveillants.<\/p>\n “Le r\u00e9seau de VexTrio utilise un TDS pour consommer le trafic Web d’autres cybercriminels, ainsi que pour vendre ce trafic \u00e0 ses propres clients”, ont indiqu\u00e9 les chercheurs. \u00ab\u00a0TDS de VexTrio est un serveur de cluster vaste et sophistiqu\u00e9 qui exploite des dizaines de milliers de domaines pour g\u00e9rer tout le trafic r\u00e9seau qui le traverse.\u00a0\u00bb<\/p>\n Le TDS exploit\u00e9 par VexTrio est disponible en deux versions, l’une bas\u00e9e sur HTTP qui g\u00e8re les requ\u00eates d’URL avec diff\u00e9rents param\u00e8tres, et une autre bas\u00e9e sur DNS, cette derni\u00e8re ayant commenc\u00e9 \u00e0 \u00eatre utilis\u00e9e pour la premi\u00e8re fois en juillet 2023.<\/p>\n Il convient de noter \u00e0 ce stade que, m\u00eame si SocGholish (alias FakeUpdates) est une filiale de VexTrio, elle exploite \u00e9galement d’autres serveurs TDS, tels que Keitaro et Parrot TDS, ce dernier agissant comme un m\u00e9canisme de redirection du trafic Web vers l’infrastructure SocGholish.<\/p>\n Selon l’unit\u00e9 42 de Palo Alto Networks, Parrot TDS est actif depuis octobre 2021, bien qu’il existe des preuves sugg\u00e9rant qu’il pourrait \u00eatre pr\u00e9sent d\u00e8s ao\u00fbt 2019.<\/p>\n “Les sites Web dot\u00e9s de Parrot TDS contiennent des scripts malveillants inject\u00e9s dans le code JavaScript existant h\u00e9berg\u00e9 sur le serveur”, explique la soci\u00e9t\u00e9. not\u00e9<\/a> dans une analyse la semaine derni\u00e8re. “Ce script inject\u00e9 se compose de deux composants\u00a0: un script d’atterrissage initial qui profile la victime et un script de charge utile qui peut diriger le navigateur de la victime vers un emplacement ou un \u00e9l\u00e9ment de contenu malveillant.”<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/VexTrio-lUber-de-la-cybercriminalite-\u2013-Courtage-de-logiciels-malveillants-pour-plus.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n