Un proveedor de seguridad y administración de DNS ha expuesto y bloqueado VexTrio, un complejo programa criminal de afiliados. Esto aumenta la ciberseguridad.
Infoblox ha hecho otro descubrimiento importante en la lucha contra el cibercrimen: en una completa publicación de blog de hoy, la compañía presenta sus hallazgos sobre VexTrio, operador de una red masiva de afiliados criminales. VexTrio ha desempeñado un papel central en el procesamiento del tráfico durante años. Aunque VexTrio es difícil de identificar y rastrear, bloquearlo interrumpe directamente una variedad de actividades cibercriminales. A través de su descubrimiento, Infoblox ha ayudado a que todo el ciberespacio sea más seguro.
Infoblox tiene como objetivo crear conciencia sobre la amenaza que representan los sistemas de distribución de tráfico (TDS) al atacar estas estructuras y aboga por una mayor colaboración en toda la industria para detectar, identificar y combatir proveedores de TDS maliciosos.
Cómo funciona el programa de afiliados de VexTrio
🔎 El ecosistema criminal VexTrio: así funciona el programa de afiliados (Imagen: Infoblox)
El programa de afiliados de VexTrio funciona de manera similar a las redes de afiliados de marketing de buena reputación. Cada ataque suele afectar la infraestructura de varias empresas. Los socios de VexTrio redirigen el tráfico que se origina en sus propias redes (por ejemplo, sitios web comprometidos) a los servidores TDS controlados por VexTrio. Luego, VexTrio transmite selectivamente este tráfico a los sitios maliciosos de otros actores o a otras redes de afiliados maliciosos. Además, VexTrio no solo proporciona la infraestructura criminal para otros, sino que también actúa como un actor de amenazas, ejecutando campañas maliciosas.
Las principales conclusiones del completo informe de Infoblox sobre VexTrio:
- VexTrio cuenta con socios conocidos como ClearFake y SocGholish.
- VexTrio tiene al menos 60 socios, lo que lo convierte en el mayor intermediario de tráfico malicioso descrito en la literatura de seguridad.
- VexTrio opera su programa de afiliados de una manera única al proporcionar a cada afiliado una pequeña cantidad de servidores dedicados.
- VexTrio mantiene asociaciones a largo plazo. Por ejemplo, SocGholish ha sido socio de VexTrio desde al menos abril de 2022.
- Las cadenas de ataque de VexTrio pueden involucrar a múltiples actores. Infoblox ya había podido observar hasta cuatro actores en una sola secuencia de ataque.
- VexTrio y sus socios abusan de los programas de referencia de McAfee y Benaughty.
- VexTrio controla múltiples redes TDS que funcionan de diferentes maneras. No fue hasta finales de diciembre que Infoblox presentó un nuevo TDS basado en DNS.
- Los sistemas de generación de dominios de VexTrio están en constante evolución. Por lo tanto, depender únicamente de una lista estática de palabras o dominios de nivel superior (TLD) basados en el historial del dominio es ineficaz. Este enfoque no es suficiente para detectar todos los dominios VexTrio, de los cuales ahora hay más de 70.000.
- VexTrio ha realizado un cambio significativo de hosting dedicado y servidores de nombres a proveedores compartidos. Desde que Infoblox descubrió VexTrio por primera vez, más del 55% de los dominios VexTrio que anteriormente estaban dedicados a infraestructura dedicada han migrado a alojamiento compartido.
Acerca de Infoblox
Infoblox combina gestión de red y seguridad, garantizando un rendimiento excepcional y una protección óptima. Tanto las empresas Fortune 100 como las empresas jóvenes emergentes valoran Infoblox por su visibilidad y control en tiempo real sobre quién y qué se conecta a su red. Esto permite a las empresas trabajar más rápido y detener las amenazas antes.
Artículos relacionados con el tema