Against Invaders – Notícias de CyberSecurity para humanos.

Pesquisadores expõem infraestrutura por trás da rede de crimes cibernéticos VexTrio

Inteligência Against Invaders
Pesquisadores expõem infraestrutura por trás da rede de crimes cibernéticos VexTrio

Pesquisadores da Infoblox divulgaram novas descobertas sobre o VexTrio, uma grande empresa criminosa que usa um conjunto de sistemas de distribuição de tráfego (TDSs), domínios semelhantes e algoritmos de geração de domínio registrado (RDGAs) para entregar malware, golpes e conteúdo ilegal.

Os pesquisadores conseguiram vincular nove indivíduos, empresas de fachada e uma ampla infraestrutura à operação global de fraude e fraude de anúncios.

Espera-se que a empresa de segurança compartilhe um relatório de 80 páginas detalhando suas novas descobertas durante a Black Hat USA, em Las Vegas, em 6 de agosto.

Entendendo a operação de habilitação de crimes cibernéticos do VexTrio

VexTrio, também conhecido como Vextrio Viper, é uma rede de fraude cibernética que está ativa desde pelo menos 2017. Foi descoberto pela Infoblox em fevereiro de 2022.

Os operadores do VexTrio são conhecidos por aproveitar sites comprometidos, principalmente aqueles que executam o WordPress, para injetar scripts maliciosos que redirecionam os usuários para conteúdo prejudicial. Eles atuam como intermediários conectando agentes de ameaças com provedores de infraestrutura, permitindo uma ampla gama de atividades de crimes cibernéticos.

Eles normalmente usam o TDS para filtrar e redirecionar o tráfego da web com base em critérios específicos, como geolocalização, tipo de dispositivo ou comportamento do usuário. Esses sistemas geralmente dependem de sites comprometidos e anúncios maliciosos para canalizar usuários desavisados para seus ecossistemas maliciosos.

O VexTrio emprega o TDS para garantir que as vítimas sejam direcionadas para a carga maliciosa mais relevante, seja malware, golpes ou kits de exploração.

Além disso, o VexTrio depende muito da manipulação do Sistema de Nomes de Domínio (DNS) para facilitar suas operações. Ao controlar ou comprometer os registros DNS, o grupo pode redirecionar as vítimas para servidores maliciosos sem o seu conhecimento.

Algumas dessas técnicas sofisticadas de manipulação de DNS empregadas pelo VexTrio incluem:

  • Técnicas de DNS de fluxo rápido, alterando rapidamente os endereços IP associados a seus domínios para evitar os esforços de detecção e remoção
  • Tunelamento DNS, uma técnica que codifica dados em consultas DNS (por exemplo, solicitações para domínios mal-intencionados) para ignorar controles de segurança, exfiltrar dados ou estabelecer comunicação secreta de comando e controle (C2)
  • Algoritmos de geração de domínio (DGAs) para manter a comunicação com sistemas infectados enquanto permanecem fora do radar

O domínio principal da rede de entrega de conteúdo da VexTrio é um dos 10.000 principais domínios em popularidade global, conforme medido pela Tranco e pela Infoblox.

Novas revelações sobre as origens, operadoras e infraestrutura do VexTrio

O relatório da Infoblox descobriu pela primeira vez que os proprietários da VexTrio operam dezenas de empresas em toda a Europa em vários setores, incluindo vários em marketing de afiliados.

Todos os negócios se originaram de duas redes distintas:

  • Um grupo italiano (com afiliados como Tekka Group ou Crownstone LLC) com histórico de spam e sites de namoro falsos
  • Um grupo do Leste Europeu (com afiliadas como Los Pollos, AdsPro) com profundo conhecimento técnico e recursos de infraestrutura.

Essas duas redes supostamente se fundiram em 2020 em uma empresa criminosa multinacional, composta por quase 100 empresas e marcas em todos os setores, incluindo adtech, aplicativos móveis, energia, construção e até estações de esqui.

O Grupo AdsPro (também conhecido como AdsPro Digital e AdsPro Global) é uma rede multinacional de empresas de fachada responsável pela criação do VexTrio TDS, que é usado para redirecionar grandes volumes de tráfego da Internet para golpes.

“Ao se passar por uma empresa legítima de adtech, operando várias marcas sob o disfarce de marketing de afiliados, ela é responsável por orquestrar muitos tipos de fraude”, diz o relatório da Infoblox.

Além disso, o novo relatório lançou luz sobre toda a extensão das atividades atuais da VexTrio. Esses incluem:

  • Operando seus próprios golpes, incluindo sites falsos de namoro e pornografia, antivírus falsos e aplicativos de bloqueio de anúncios, golpes de sorteios e prêmios, fraude de assinatura por meio de notificações push e plataformas falsas de comércio eletrônico e investimento em criptomoedas
  • Desenvolvimento e distribuição de aplicativos maliciosos sob nomes como HolaCode, LocoMind, Hugmi, Klover Group e AlphaScale Media
  • Execução de processadores de pagamento (por exemplo, Pay Salsa) e serviços de validação de e-mail (por exemplo, DataSnap)
  • Controlar os lados de publicação e publicidade das redes de afiliados por meio de sites como Los Pollos, TacoLoco e Adtrafico

A Infoblox também revelou que, apesar da ampla gama de atividades maliciosas, a operação global da VexTrio é executada em menos de 250 vmáquinas irtuais em alguns provedores de hospedagem.

Finalmente, o relatório da Infoblox expôs pela primeira vez alguns indivíduos ligados à rede VexTrio – a saber, Giulio Cerutti, Igor Voronin, Andrew Kunitsa, Dzmitry Laptsevich, Kroum Vassilev, Matteo Costa, Marco Rufa e Giulio Lingua.

Esses indivíduos, conectados a dezenas de entidades afiliadas à VexTrio na Suíça, República Tcheca, Bulgária, Moldávia e Canadá, foram identificados por meio da análise de registros de transparência corporativa, marcas registradas, atividade de mídia social e mais documentos disponíveis publicamente.

Avatar de Inteligência Against Invaders
Inteligência Against Invaders

Search

Latest Posts

Latest Comments

Nenhum comentário para mostrar.

Categories

Archives

Tags

Newsletter

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

Insert the contact form shortcode with the additional CSS class- "bloghoot-newsletter-section"

By signing up, you agree to the our terms and our Privacy Policy agreement.