Infoblox legt enorm cybercrime affiliate-programma van VexTrio bloot

Nieuw onderzoek van security-expert Infoblox heeft een wereldwijd crimineel affiliatenetwerk blootgelegd. Het wordt beheerd door VexTrio, een tot voor kort onbekende cybercrimegroep. Al jarenlang verhandelt VexTrio internetverkeer tussen verschillende andere hackersgroepen, die daarmee hun eigen malwarecampagnes kunnen uitvoeren. VexTrio is zeer lastig op te sporen, maar het blokkeren van VexTrio leidt direct tot de verstoring van een breed spectrum aan online criminele activiteit.

Het onderzoek van Infoblox geeft een inkijk in de moderne cybercrime-economie en laat zien hoe gevaarlijk ‘traffic distribution systems’ (TDS) zijn, een technologie die centraal staat in het affiliatenetwerk van VexTrio. Infoblox roept dan ook op tot meer samenwerking binnen de securitybranche om malafide TDS’en te detecteren, identificeren en bestrijden.

Hoe werkt het VexTrio affiliateprogramma?
VexTrio gaat op een soortgelijke manier te werk als legitieme marketing affiliatenetwerken, waarbij een commerciële tussenpartij adverteerders matcht met websites om op te adverteren. VexTrio krijgt internetverkeer doorgespeeld van affiliatepartners die websites hebben gehackt. Dit verkeer wordt via de TDS-servers van VexTrio doorgesluisd richting webpagina’s van andere criminele groepen, met bijvoorbeeld nepformulieren voor phishing-campagnes. VexTrio treedt daarbij niet alleen op als infrastructuurbeheerder, maar voert ook zelf campagnes uit.

De belangrijkste bevindingen van Infoblox over VexTrio:

  • VexTrio werkt samen met bekende hackersgroepen zoals ClearFake en SocGholish.
  • Met meer dan 60 affiliate-partners is VexTrio de grootste bekende malafide traffic broker.
  • VexTrio hanteert een unieke werkwijze, waarbij iedere affiliate een klein aantal toegewijde servers krijgt toegewezen.
  • VexTrio heeft langdurige samenwerkingen. Zo is SocGholish al ten minste sinds april 2022 een VexTrio-affiliate.
  • De aanvalsketens van VexTrio kunnen meerdere actoren bevatten. Infoblox heeft tot wel vier actoren waargenomen in een enkele aanvalsketen.
  • VexTrio en zijn affiliates maken misbruik van referralprogramma’s van McAfee en Benaughty.
  • VexTrio beheert meerdere TDS-netwerken, die op verschillende manieren functioneren. Zo is eind december 2023 een DNS-gebaseerde TDS ontdekt.
  • De domeingeneratie-tactieken van VexTrio blijven evolueren. Een statische lijst van woorden of top-level domains (TLD’s) op basis van domeingeschiedenis biedt daarom onvoldoende bescherming.
  • Er zijn inmiddels ruim 70.000 VexTrio-domeinnamen geïdentificeerd.
  • VexTrio is overgestapt van dedicated hosting en nameservers naar shared providers. Sinds Infoblox in 2022 voor het eerst over VexTrio berichtte, is meer dan 55% van de VexTrio-domeinen overgeheveld.

Geef een reactie