VexTrio, en el centro de un ecosistema de proveedores de servicios de malware
VexTrio se ha convertido en el núcleo de un extenso programa de afiliados compuesto por más de 60 actores maliciosos, que ofrecen recursos y plataformas de malware y malware como servicio, MaaS.
Infoblox, compañía especializada en ciberseguridad y gestión de servicios core de red a través de plataformas cloud, ha hecho público un nuevo informe realizado por Infoblox Threat Intel, su departamento de inteligencia de seguridad, en el que ha analizado el papel de VexTrio como núcleo de un extenso programa de afiliados compuesto por más de 60 actores maliciosos, incluidos algunos de alto perfil como SocGholish y ClearFake.
Hoy día, las actividades de ciberdelincuencia se han sofisticado, de modo que existen organizaciones que ofrecen recursos y plataformas de malware y malware como servicio (MaaS) mediante los cuales otros actores se dotan de la infraestructura necesaria para llevar a cabo sus actividades maliciosas. Estos proveedores de servicios también forman alianzas estratégicas (affiliations), de forma similar a como lo hacen las empresas.
VexTrio es un actor de amenazas de DNS que opera desde hace seis años y afecta a más del 50% de las redes corporativas. VexTrio utiliza algoritmos de generación de dominios para realizar los ataques y distribuir adware, spyware y formularios web fraudulentos. Los ciberatacantes de VexTrio utilizan intensamente la gestión de dominios y el protocolo DNS, aprovechan sitios web vulnerables como vectores de ataque para distribuir contenido fraudulento a los visitantes de dichos sitios web sin que se enteren. Su modus operandi continúa evolucionando y sus operaciones son difíciles de detectar y rastrear, ya que crea asociaciones con otros actores que crean un ecosistema sostenible y resiliente que es extremadamente difícil de destruir.
El programa de afiliados de VexTrio incluye una serie de actores que proporcionan cada uno una parte de la infraestructura necesaria para realizar los ataques. Algunos actores reenvían el tráfico procedente de sus propios recursos (por ejemplo, sitios web comprometidos) a Servidores TDS controlados por VexTrio. Posteriormente, VexTrio retransmite estos flujos de tráfico a otros actores o a otras redes de afiliados maliciosas.
Entre los principales hallazgos del estudio de Infoblox se encuentran:
• VexTrio tiene al menos 60 “partners”, lo que convierte esta red en la mayor entidad de actividad maliciosa por tráfico generado identificada hasta el momento por el mercado.
• VexTrio establece partnerships a largo plazo con los miembros de su ecosistema. Dedica a cada afiliado un número de servidores. Actores como SocGholish lleva operando con VexTrio desde al menos abril de 2022, y ClearFake desde que se detectó por primera vez su actividad, en agosto de 2023.
• Las cadenas de ataques de VexTrio son sofisticadas, e incluyen habitualmente múltiples actores. Se han detectado hasta cuatro en una sola secuencia de ataque.
• VexTrio y sus afiliados están aprovechando de forma abusiva determinadas funcionalidades de productos de software de seguridad de referencia en el mercado.
• Los esquemas de generación de dominios VexTrio continúan evolucionando. Utilizando técnicas de análisis como listas estáticas de palabras o analizando dominios de nivel superior (TLD) basados en el historial del dominio se han podido detectar de forma exhaustiva dominios VexTrio, cuyo número conocido a día de hoy supera los 70.000.
• VexTrio controla múltiples redes TDS, que funcionan de diferentes maneras. En particular, hemos detectado un nuevo TDS basado en DNS observado por primera vez a finales de diciembre de 2023.
• VexTrio ha realizado un importante cambio, pasando de utilizar hosting dedicado y servidores de nombres a utilizar proveedores compartidos. Desde la primera publicación de VexTrio por parte de Infoblox, más del 55% de los dominios VexTrio que alguna vez fueron asignados a una infraestructura dedicada y han migrado a alojamiento compartido.
VexTrio aporta tráfico web a numerosas campañas de malware, ya que sus servidores TDS redirigen a los visitantes de un determinado sitio web a la campaña más relevante en función del perfil de usuario (datos de geolocalización, cookies o configuración de idioma del navegador).
En el blog donde ha publicado las conclusiones de la investigación, sus autores comentan: “VexTrio es un prolífico actor de amenazas DNS que registra una gran cantidad de dominios para llevar a cabo ataques generalizados en todo el mundo. A menudo dejan su huella, lo que nos permite estudiar exhaustivamente sus actividades y identificar patrones de DNS que a su vez nos da pistas sobre su forma de actuar. Recientemente, los actores han migrado una gran parte de su infraestructura a proveedores de hosting compartido, lo que hace más difícil su seguimiento. Sin embargo, estos dominios continúan mostrando características únicas que podemos detectar y bloquear”.
