Un système de distribution du trafic (TDS) jusqu’alors inconnu nommé « Exterior » est actif depuis au moins 2017, aidant 60 affiliés dans leurs opérations de cybercriminalité via un vaste réseau de 70 000 sites.

Les systèmes de répartition du trafic (TDS) sont des services qui prennent le trafic entrant et redirigent l’utilisateur vers un autre site Web en fonction du système d’exploitation, de l’adresse IP, de l’appareil, de la région géographique et d’autres critères du visiteur.

Pour des raisons légitimes, un TDS est couramment utilisé dans le marketing d’affiliation. Cependant, dans la cybercriminalité, ils redirigent les utilisateurs sans méfiance vers des destinations malveillantes telles que des pages de phishing, des kits d’exploitation et des sites de suppression de logiciels malveillants.

L’un de ces cas est le Parrot TDS, mis en évidence récemment dans un rapport de l’Unité 42 qui présentait des preuves que l’opération restait active et en développement.

Un nouveau rapport d’Infoblox se concentre sur une opération TDS à beaucoup plus grande échelle nommée VexTrio, qui travaille avec des campagnes de cybercriminalité notoires et des opérateurs comme ClearFake et SocGholish, entre autres.

Au service de la cybercriminalité depuis 2017
VexTrio a été identifié par Infoblox comme une entité très omniprésente dans le paysage de la cybercriminalité, commandant un réseau massif qui joue un rôle central dans la distribution de contenu malveillant.

VexTrio contrôle plus de 70 000 sites compromis, ce qui témoigne de sa portée étendue, permettant à la plate-forme de distribuer du contenu malveillant aux visiteurs sur un large éventail de sites Web et de services.

En règle générale, les sites sont piratés pour injecter des scripts de redirection malveillants dans le code HTML des sites vulnérables. Dans d’autres cas, les acteurs de la menace créent simplement leurs propres sites Web et utilisent des tactiques de référencement blackhat pour générer du trafic.

La plateforme agit comme un courtier de trafic intermédiaire en échange d’argent de la part de groupes de cybercriminalité, redirigeant les visiteurs des sites sous son contrôle vers les destinations malveillantes des clients.

VexTrio étend également sa portée en s’associant à au moins 60 entités, ou affiliés, qui transfèrent le trafic de leurs ressources, telles que des sites Web compromis, vers les serveurs TDS de VexTrio.

Diagramme opérationnel

Infoblox note que ces partenariats ne semblent pas de courte durée, car ils ont observé des cas qui s’étendaient jusqu’à quatre ans, montrant un haut niveau de confiance et d’avantages mutuels.

L’un des partenaires de VexTrio est Clear Fake, une campagne de logiciels malveillants qui affiche des invites sur des sites piratés indiquant aux visiteurs d’installer de fausses mises à jour de navigateur, qui installent des logiciels malveillants sur l’appareil.

Clear Fake est affilié à VexTrio depuis cinq mois, mais au lieu de transférer directement le trafic vers les serveurs TDS de la plateforme, il utilise le service Keitaro comme point de redirection intermédiaire.

La campagne de logiciels malveillants SocGholish collabore également avec Vexation depuis au moins avril 2022, selon Infoblox, s’appuyant également sur le service Keitaro TDS pour un rebond à mi-parcours. Historiquement, SocGholish était utilisé par les gangs de ransomwares pour obtenir un accès initial aux réseaux d’entreprise.

Fausse invite de mise à jour du navigateur SocGholish

La variété et la complexité des chaînes d’attaques, qui impliquaient de multiples acteurs de la menace, rendent l’activité de VexTrio difficile à cartographier, à détecter et à atténuer.

Diverses sources de revenus
De plus, les analystes ont constaté que VexTrio et ses affiliés abusent souvent des programmes de parrainage de plateformes légitimes pour générer des revenus en redirigeant les victimes vers des sites de confiance via des liens d’affiliation.

En entrelaçant leurs opérations avec des services légitimes, VexTrio et ses affiliés rendent plus difficile pour les utilisateurs et les systèmes de sécurité de discerner leurs activités malveillantes.

Le rapport d’Infoblox met en évidence une campagne VexTrio rusée et trompeuse nommée « robot CAPTCHA », que le groupe utilise dans ses efforts de génération de références.

Dans cette campagne, les utilisateurs visitant des sites compromis sont redirigés vers ce qui apparaît comme un test CAPTCHA légitime, qui incite l’utilisateur à cliquer sur un bouton « Autoriser », accordant par inadvertance au site Web l’autorisation d’envoyer des notifications push via le navigateur de l’utilisateur.

Ensuite, les serveurs de VexTrio peuvent envoyer de fausses notifications à la victime à tout moment, se faisant passer pour des avertissements système, des alertes audiovisuelles et d’autres alertes apparemment crédibles. VexTrio s’assure même que ces alertes sont dans la bonne langue en utilisant des modules JS pour ajuster dynamiquement la langue en fonction des données du navigateur de l’utilisateur.

Fausse notification extérieure

Cliquer sur les notifications trompeuses peut conduire les victimes vers des pages de destination qui génèrent des revenus de référence pour VexTrio.

Compte tenu de la complexité, de la résilience et de la diversité des sources de revenus et des chaînes d’infection, Exterior sera très difficile à éradiquer, bien que l’identification et la cartographie de ses sites constituent une première étape solide.

Infoblox suggère aux utilisateurs d’atténuer la menace en limitant leur navigation uniquement aux sites certifiés SSL, en bloquant les notifications push sur leur navigateur et en utilisant des outils de blocage des publicités qui peuvent empêcher le chargement des publicités contextuelles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *