Un fornitore di gestione e sicurezza DNS ha smascherato e bloccato VexTrio, un complesso programma di affiliazione criminale. Ciò aumenta la sicurezza informatica.
Infoblox ha fatto un'altra importante scoperta nella lotta contro la criminalità informatica: oggi in un ampio post sul blog l'azienda presenta le sue scoperte su VexTrio, gestore di un'enorme rete di affiliazione criminale. VexTrio svolge da anni un ruolo centrale nell'elaborazione del traffico. Sebbene VexTrio sia difficile da identificare e tracciare, bloccarlo interrompe direttamente una serie di attività criminali informatiche. Attraverso la sua scoperta, Infoblox ha contribuito a rendere l’intero cyberspazio più sicuro.
Infoblox mira ad aumentare la consapevolezza della minaccia posta dai sistemi di distribuzione del traffico (TDS) prendendo di mira queste strutture e sostiene una maggiore collaborazione a livello di settore nel rilevamento, identificazione e lotta contro i fornitori di TDS dannosi.
Come funziona il programma di affiliazione VexTrio
🔎 L'ecosistema criminale VexTrio: ecco come funziona il programma di affiliazione (Immagine: Infoblox)
Il programma di affiliazione di VexTrio funziona in modo simile a rinomate reti di affiliazione di marketing. Ogni attacco colpisce tipicamente l'infrastruttura di più aziende. I partner VexTrio reindirizzano il traffico proveniente dalle proprie reti (ad esempio siti Web compromessi) ai server TDS controllati da VexTrio. VexTrio trasmette quindi selettivamente questo traffico ai siti dannosi di altri attori o ad altre reti affiliate dannose. Inoltre, VexTrio non solo fornisce l'infrastruttura criminale per altri, ma agisce anche lui stesso come attore di minacce, eseguendo campagne dannose.
I risultati principali del rapporto completo di Infoblox su VexTrio:
- VexTrio ha partner noti come ClearFake e SocGholish.
- VexTrio ha almeno 60 partner, il che lo rende il più grande broker di traffico dannoso descritto nella letteratura sulla sicurezza.
- VexTrio gestisce il suo programma di affiliazione in modo unico fornendo a ciascun affiliato un numero limitato di server dedicati.
- VexTrio mantiene partnership a lungo termine. Ad esempio, SocGholish è partner di VexTrio almeno da aprile 2022.
- Le catene di attacco di VexTrio possono coinvolgere più attori. Infoblox è stato in precedenza in grado di osservare fino a quattro attori in una singola sequenza di attacco.
- VexTrio e i suoi partner abusano dei programmi di riferimento McAfee e Benaughty.
- VexTrio controlla più reti TDS che funzionano in modi diversi. Solo alla fine di dicembre Infoblox ha presentato un nuovo TDS basato su DNS.
- I sistemi di generazione dei domini di VexTrio sono in continua evoluzione. Pertanto, fare affidamento esclusivamente su un elenco statico di parole o domini di primo livello (TLD) basati sulla cronologia del dominio è inefficace. Questo approccio non è sufficiente per rilevare tutti i domini VexTrio, di cui ora ce ne sono più di 70.000.
- VexTrio ha compiuto un passaggio significativo dall'hosting dedicato e dai name server ai provider condivisi. Da quando Infoblox ha scoperto per la prima volta VexTrio, oltre il 55% dei domini VexTrio precedentemente dedicati all'infrastruttura dedicata sono migrati all'hosting condiviso.
Infoblox
Infoblox combina gestione della rete e sicurezza, garantendo prestazioni eccezionali e protezione ottimale. Sia le aziende Fortune 100 che le giovani aziende emergenti apprezzano Infoblox per la visibilità in tempo reale e il controllo su chi e cosa si connette alla loro rete. Ciò consente alle aziende di lavorare più velocemente e fermare le minacce prima.
Articoli relativi all'argomento