Un fournisseur de gestion et de sécurité DNS a exposé et bloqué VexTrio, un programme d'affiliation criminel complexe. Cela augmente la cybersécurité.
Infoblox a fait une autre découverte importante dans la lutte contre la cybercriminalité : dans un article de blog complet, l'entreprise présente aujourd'hui ses conclusions sur VexTrio, opérateur d'un vaste réseau d'affiliation criminel. VexTrio joue un rôle central dans le traitement du trafic depuis des années. Bien que VexTrio soit difficile à identifier et à suivre, son blocage perturbe directement diverses activités cybercriminelles. Grâce à sa découverte, Infoblox a contribué à rendre l’ensemble du cyberespace plus sûr.
Infoblox vise à sensibiliser à la menace posée par les systèmes de distribution de trafic (TDS) en ciblant ces structures - et plaide en faveur d'une collaboration accrue à l'échelle du secteur pour détecter, identifier et combattre les fournisseurs TDS malveillants.
Comment fonctionne le programme d'affiliation VexTrio
Le programme d'affiliation de VexTrio fonctionne de la même manière que les réseaux d'affiliation marketing réputés. Chaque attaque affecte généralement l'infrastructure de plusieurs entreprises. Les partenaires de VexTrio redirigent le trafic provenant de leurs propres réseaux (par exemple des sites Web compromis) vers les serveurs TDS contrôlés par VexTrio. VexTrio transmet ensuite sélectivement ce trafic vers les sites malveillants d'autres acteurs ou vers d'autres réseaux affiliés malveillants. De plus, VexTrio fournit non seulement l’infrastructure criminelle à d’autres, mais agit également lui-même en tant qu’acteur menaçant, exécutant des campagnes malveillantes.
Les principales conclusions du rapport complet Infoblox sur VexTrio :
- VexTrio compte des partenaires bien connus tels que ClearFake et SocGholish.
- VexTrio compte au moins 60 partenaires, ce qui en fait le plus grand courtier de trafic malveillant décrit dans la littérature sur la sécurité.
- VexTrio gère son programme d'affiliation d'une manière unique en fournissant à chaque affilié un petit nombre de serveurs dédiés.
- VexTrio entretient des partenariats à long terme. Par exemple, SocGholish est partenaire de VexTrio depuis au moins avril 2022.
- Les chaînes d'attaque de VexTrio peuvent impliquer plusieurs acteurs. Infoblox a déjà pu observer jusqu'à quatre acteurs dans une seule séquence d'attaque.
- VexTrio et ses partenaires abusent des programmes de parrainage McAfee et Benaughty.
- VexTrio contrôle plusieurs réseaux TDS qui fonctionnent de différentes manières. Ce n'est que fin décembre qu'Infoblox a dévoilé un nouveau TDS basé sur DNS.
- Les systèmes de génération de domaines de VexTrio évoluent constamment. Par conséquent, s’appuyer uniquement sur une liste statique de mots ou de domaines de premier niveau (TLD) basée sur l’historique du domaine est inefficace. Cette approche n'est pas suffisante pour détecter tous les domaines VexTrio, qui sont aujourd'hui au nombre de plus de 70.000 XNUMX.
- VexTrio a opéré un changement significatif de l'hébergement dédié et des serveurs de noms vers des fournisseurs partagés. Depuis qu'Infoblox a découvert VexTrio, plus de 55 % des domaines VexTrio qui étaient auparavant dédiés à une infrastructure dédiée ont migré vers l'hébergement partagé.
À propos d'Infoblox
Infoblox combine gestion de réseau et sécurité, garantissant des performances exceptionnelles et une protection optimale. Les entreprises Fortune 100 et les jeunes entreprises émergentes apprécient Infoblox pour sa visibilité et son contrôle en temps réel sur qui et quoi se connecte à leur réseau. Cela permet aux entreprises de travailler plus rapidement et d’arrêter les menaces plus tôt.
Articles liés au sujet