Um provedor de gerenciamento e segurança de DNS expôs e bloqueou o VexTrio, um complexo programa criminoso de afiliados. Isso aumenta a segurança cibernética.
A Infoblox fez outra descoberta importante na luta contra o crime cibernético: em uma postagem abrangente no blog hoje, a empresa apresenta suas descobertas sobre a VexTrio, operadora de uma enorme rede criminosa afiliada. O VexTrio desempenha um papel central no processamento de tráfego há anos. Embora o VexTrio seja difícil de identificar e rastrear, bloqueá-lo interrompe diretamente uma variedade de atividades cibercriminosas. Através da sua descoberta, a Infoblox ajudou a tornar todo o ciberespaço mais seguro.
A Infoblox visa aumentar a conscientização sobre a ameaça representada pelos sistemas de distribuição de tráfego (TDS), visando essas estruturas - e defende uma maior colaboração em toda a indústria na detecção, identificação e combate a provedores maliciosos de TDS.
Como funciona o programa de afiliados VexTrio
🔎 O ecossistema criminoso VexTrio: é assim que funciona o programa de afiliados (Imagem: Infoblox)
O programa de afiliados da VexTrio funciona de forma semelhante a redes de afiliados de marketing confiáveis. Cada ataque normalmente afeta a infraestrutura de várias empresas. Os parceiros VexTrio redirecionam o tráfego originado de suas próprias redes (por exemplo, sites comprometidos) para os servidores TDS controlados pela VexTrio. O VexTrio então transmite seletivamente esse tráfego para sites maliciosos de outros atores ou para outras redes afiliadas maliciosas. Além disso, o VexTrio não apenas fornece a infraestrutura criminosa para terceiros, mas também atua como um ator de ameaça, executando campanhas maliciosas.
As principais conclusões do relatório abrangente da Infoblox sobre o VexTrio:
- VexTrio tem parceiros conhecidos como ClearFake e SocGholish.
- O VexTrio possui pelo menos 60 parceiros, o que o torna o maior corretor de tráfego malicioso descrito na literatura de segurança.
- A VexTrio opera seu programa de afiliados de maneira única, fornecendo a cada afiliado um pequeno número de servidores dedicados.
- A VexTrio mantém parcerias de longo prazo. Por exemplo, SocGholish é parceiro do VexTrio desde pelo menos abril de 2022.
- As cadeias de ataque do VexTrio podem envolver vários atores. A Infoblox já conseguiu observar até quatro atores em uma única sequência de ataque.
- VexTrio e seus parceiros abusam dos programas de referência da McAfee e Benaughty.
- O VexTrio controla múltiplas redes TDS que funcionam de diferentes maneiras. Foi somente no final de dezembro que a Infoblox revelou um novo TDS baseado em DNS.
- Os sistemas de geração de domínios da VexTrio estão em constante evolução. Portanto, confiar apenas em uma lista estática de palavras ou domínios de nível superior (TLDs) com base no histórico do domínio é ineficaz. Esta abordagem não é suficiente para detectar todos os domínios VexTrio, dos quais existem agora mais de 70.000.
- A VexTrio fez uma mudança significativa de hospedagem dedicada e servidores de nomes para provedores compartilhados. Desde que a Infoblox descobriu o VexTrio, mais de 55% dos domínios VexTrio que antes eram dedicados à infraestrutura dedicada migraram para hospedagem compartilhada.
Sobre Infoblox
A Infoblox combina gerenciamento de rede e segurança, garantindo desempenho excepcional e proteção ideal. Tanto as empresas Fortune 100 quanto as jovens empresas emergentes valorizam a Infoblox pela visibilidade e controle em tempo real sobre quem e o que está se conectando à sua rede. Isso permite que as empresas trabalhem com mais rapidez e interrompam as ameaças mais cedo.
Artigos relacionados ao tema