El cibercrimen es una industria multimillonaria que no deja de crecer y de innovar. Cada día, miles de hackers, estafadores y ciberdelincuentes lanzan ataques contra usuarios, empresas e instituciones, buscando obtener beneficios ilícitos o causar daños. Para ello, se valen de diversas herramientas y técnicas, como el phishing, el ransomware, el robo de datos, el fraude online o la suplantación de identidad.
Sin embargo, muchos de estos actores maliciosos no actúan solos, sino que forman parte de una red compleja y sofisticada que les provee de recursos, infraestructura y tráfico web para llevar a cabo sus campañas maliciosas. Esta red se llama VexTrio, y es el mayor intermediario de tráfico malicioso que se conoce en la literatura de seguridad.
Los actores de amenazas detrás de ClearFake, SocGholish y docenas de otros actores han establecido asociaciones con otra entidad conocida como VexTrio como parte de un "programa de afiliados criminal" masivo, según nuevos hallazgos de una empresa de seguridad cibernética.
El último desarrollo demuestra la "amplitud de sus actividades y la profundidad de sus conexiones dentro de la industria del cibercrimen", dijo la compañía, describiendo a VexTrio como "el mayor corredor de tráfico malicioso descrito en la literatura de seguridad".
VexTrio, que se cree que ha estado activo desde al menos 2017, se ha atribuido a campañas maliciosas que utilizan dominios generados por un algoritmo de generación de dominios de diccionario (DDGA) para propagar estafas, software de riesgo, software espía, software publicitario y programas potencialmente no deseados (PUP) y contenido pornográfico.
Esto incluye un grupo de actividades de 2022 que distribuyó el malware Glupteba luego de un intento anterior de eliminar una parte importante de su infraestructura en diciembre de 2021. En agosto de 2023, el grupo también orquestó un ataque generalizado que involucró sitios web de WordPress comprometidos que redirigen condicionalmente a los visitantes a dominios intermediarios de comando y control (C2) y DDGA.
Lo que hizo que las infecciones fueran significativas fue el hecho de que el actor de la amenaza aprovechó el protocolo del Sistema de nombres de dominio (DNS) para recuperar las URL de redireccionamiento, actuando efectivamente como un sistema de distribución (o entrega o dirección) de tráfico (TDS) basado en DNS.
Se estima que VexTrio opera una red de más de 70.000 dominios conocidos y gestiona el tráfico de hasta 60 afiliados, incluidos ClearFake, SocGholish y TikTok Refresh.
Renée Burton, jefa de inteligencia de amenazas en la empresa de seguridad cibernética, dijo que actualmente no se sabe cómo se reclutan los afiliados, aunque se sospecha que los actores de VexTrio pueden estar anunciando sus servicios en foros de la web oscura o al menos tener una forma para otros ciberdelincuentes para ponerse en contacto con ellos.
Te podrá interesar leer: Análisis de Malware con Wazuh
"VexTrio opera su programa de afiliados de una manera única, proporcionando una pequeña cantidad de servidores dedicados a cada afiliado", dijo la empresa en un informe detallado compartido con la publicación. "Las relaciones con los afiliados de VexTrio parecen ser de larga data".
Sus cadenas de ataque no solo pueden incluir múltiples actores, VexTrio también controla múltiples redes TDS para dirigir a los visitantes del sitio a contenido ilegítimo en función de sus atributos de perfil (por ejemplo, geolocalización, cookies del navegador y configuración de idioma del navegador) con el fin de maximizar las ganancias, mientras filtra el resto.
Estos ataques presentan infraestructura propiedad de diferentes partes en la que los afiliados participantes reenvían el tráfico procedente de sus propios recursos (por ejemplo, sitios web comprometidos) a servidores TDS controlados por VexTrio. En la siguiente fase, este tráfico se retransmite a otros sitios fraudulentos o redes de afiliados maliciosas.
"La red de VexTrio utiliza un TDS para consumir tráfico web de otros ciberdelincuentes, así como para vender ese tráfico a sus propios clientes", dijeron los investigadores. "El TDS de VexTrio es un servidor de clúster grande y sofisticado que aprovecha decenas de miles de dominios para gestionar todo el tráfico de red que pasa a través de él".
El TDS de VexTrio tiene dos versiones: una basada en HTTP que maneja consultas de URL con diferentes parámetros, y otra basada en DNS que comenzó a utilizarse en julio de 2023. Además, SocGholish, un afiliado de VexTrio, también opera otros servidores TDS, como Keitaro y Parrot TDS, que redirigen el tráfico web a la infraestructura de SocGholish. No hay evidencia de que VexTrio esté utilizando Parrot TDS, ya que VexTrio es más antiguo y utiliza su propio software.
Parrot TDS, ha estado activo desde octubre de 2021, con evidencia que sugiere su existencia desde agosto de 2019. Los sitios web con Parrot TDS tienen scripts maliciosos inyectados en el código JavaScript existente alojado en el servidor, aprovechando vulnerabilidades de seguridad conocidas en sistemas de gestión de contenidos como WordPress y Joomla.
La red de afiliados de VexTrio se centra en seleccionar sitios web que ejecutan versiones vulnerables de WordPress para insertar JavaScript malicioso en sus páginas HTML. Además de contribuir al tráfico web de campañas cibernéticas, VexTrio también se dedica a ganar dinero a través de programas de referencia y revende el tráfico web a otros actores de amenazas.
Este modelo de negocio complejo y enredado ha permitido que VexTrio prospere y permanezca anónimo en la industria de la seguridad durante más de seis años. La empresa de seguridad cibernética concluye que bloquear el tráfico de VexTrio en el DNS sería efectivo para bloquear todos los delitos relacionados, ya que esta entidad es fundamental en el ecosistema de afiliados de delitos cibernéticos.
Te podrá interesar leer: Scripts maliciosos ocultos en sitios web hackeados
Vextrio, el "Uber del cibercrimen", representa una evolución alarmante en el mundo del cibercrimen. Facilita la ejecución de actividades ilegales y plantea nuevos desafíos para la seguridad en línea. La respuesta a esta amenaza requiere una combinación de conciencia, educación, medidas de seguridad robustas y cooperación internacional. Solo a través de un enfoque multifacético podemos esperar contrarrestar los efectos de plataformas como Vextrio y proteger nuestra información y sistemas digitales.