VexTrio: broker criminale per oltre 60 affiliati

VexTrio, broker cybercrime, opera un vasto programma di affiliazione criminale, agendo da intermediario per il traffico malevolo per più di 60 attori di minacce, inclusi ClearFake e SocGholish. Secondo i nuovi ritrovamenti di Infoblox, VexTrio è considerato il più grande broker di traffico malevolo descritto nella letteratura di sicurezza.

Attività Principali di VexTrio

Rete di Domini: VexTrio gestisce una rete di oltre 70.000 domini conosciuti, mediando traffico per un massimo di 60 affiliati.

Attacchi e Distribuzione Malware: Ha contribuito a campagne malevole che diffondono adware, spyware, programmi potenzialmente indesiderati (PUP), contenuti pornografici e il malware Glupteba.

Uso di un Algoritmo di Generazione di Domini (DDGA): VexTrio sfrutta domini generati attraverso un algoritmo basato su un dizionario per diffondere i suoi attacchi.

🔴 OSSERVATORIO INTELLIGENCE: LIVE

Complessità e Impatto di VexTrio

Sistema di Traffico Basato sul DNS: VexTrio utilizza il protocollo DNS per recuperare URL di reindirizzamento, agendo come un sistema di distribuzione di traffico basato sul DNS (TDS).

TDS in Due Varianti: Il TDS di VexTrio viene in due varianti, una basata su HTTP e l’altra su DNS, quest’ultima utilizzata per la prima volta nel luglio 2023.

Affiliati e Infrastruttura Complessa: Gli attori di minaccia che si affidano a VexTrio inoltrano il traffico dai loro siti compromessi ai server TDS controllati da VexTrio, per poi reindirizzarlo verso altri siti fraudolenti o reti affiliate malevole.

Implicazioni per la Sicurezza

VexTrio dimostra la sofisticatezza e la resilienza degli ecosistemi criminali online, rendendo la classificazione e l’attribuzione precise una sfida notevole. La sua attività sottolinea l’importanza della vigilanza e della prevenzione per combattere efficacemente il cybercrime.