Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA ACTIVIDAD MALICIOSA POR PARTE DEL GRUPO DE DISTRIBUCIÓN DE MALWARE DENOMINADO VEXTRIO

20/05/2024

NUEVA ACTIVIDAD MALICIOSA POR PARTE DEL GRUPO DE DISTRIBUCIÓN DE MALWARE DENOMINADO VEXTRIO
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó una nueva actividad maliciosa por parte de un distribuidor de amenazas llamado VexTrio donde opera bajo un modelo Malware as a Service (MaaS) similar al de marketing de afiliados, logrando facilitar la distribución de diferentes familias de malware y dificultando su detección.

Descripción

VexTrio ha estado operativo desde al menos el año 2017 pasando desapercibido hasta ahora. Tiene asociaciones estratégicas con ClearFake, SocGholish y muchos otros actores anónimos colaborando con más de 60 afiliados a través de una red de más de 70,000 sitios comprometidos, operando bajo el sistema Traffic Distribution System o TDS (es un sistema utilizado para gestionar y dirigir el flujo de tráfico en sitios web).

VexTrio opera una red masiva propia contando con más de 70.000 dominios conocidos con los cuales distribuye malware como Glupteba, también vende tráfico web a sus asociados, así mismo utiliza el algoritmo de dominios de direccionamiento (DDGA) y sitios de WordPress comprometidos para redirigir a los visitantes a sitios maliciosos con el fin de infectar los equipos o que caigan en estafas.

Vector de infección

El grupo VexTrio y sus afiliados podrían emplear una variedad de vectores de infección para propagar malware y comprometer sistemas. Estos podrían incluir explotación de vulnerabilidades mediante exploits de día cero o vulnerabilidades no seguras, campañas de phishing sofisticadas que imitan comunicaciones legítimas para engañar a los usuarios, tácticas avanzadas de ingeniería social para obtener acceso no autorizado a sistemas, generar campañas malvertising a través de redes de publicidad maliciosa, ataques de fuerza bruta contra servicios expuestos en línea, explotación de software desactualizado y distribución de archivos maliciosos disfrazados como legítimos.

Recomendaciones

  • VexTrio puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:
  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios.
  • Asegurar de que todos los sistemas operativos, aplicaciones y software de seguridad estén actualizados con los últimos parches de seguridad para mitigar el riesgo de explotación de vulnerabilidades conocidas.
  • Realizar capacitación a los empleados y usuarios finales sobre las tácticas de ingeniería social utilizadas en los ataques de phishing y malvertising para que puedan reconocer y evitar correos electrónicos o anuncios sospechosos.
  • Utilizar herramientas de seguridad avanzadas, como firewalls, antivirus, antimalware y filtrado de correo electrónico, para detectar y bloquear amenazas antes de que puedan comprometer los sistemas.

Leer noticia: https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program