Cybercriminalité : Infoblox découvre VexTrio, le plus grand courtier de trafic malveillant

0
124

Les experts Infoblox Threat Intel d’Infoblox ont fait une nouvelle découverte importante dans la bataille contre la cybercriminalité ! Le principal fournisseur de gestion et de sécurité DNS publie aujourd’hui un blog détaillant ses conclusions sur VexTrio – l’opérateur d’un grand réseau criminel d’affiliation.

Tribune – Depuis des années, VexTrio joue un rôle central dans le domaine du “courtage de trafic malveillant“, surpassant ses concurrents et se positionnant comme la menace la plus persistante au sein des réseaux d’entreprise. Bien qu’il soit complexe de l’identifier et de le suivre, bloquer VexTrio perturbe directement un vaste éventail d’activités cybercriminelles. Cette découverte a permis à Infoblox de contribuer significativement à la sécurisation de l’ensemble du cyberespace.

En mettant à jour et en dévoilant précisément ces structures et leur fonctionnement, Infoblox cherche à alerter le plus grand nombre sur le danger que constituent les systèmes de distribution de trafic (TDS). De plus, l’entreprise plaide pour une coopération renforcée au sein du secteur afin de détecter, identifier et combattre efficacement les fournisseurs de TDS malintentionnés.

Comment se déroule le programme d’affiliation de VexTrio ? (cf. image ci-dessous)

Le programme d’affiliation de VexTrio s’opère de la même manière que les réseaux légitimes d’affiliation du secteur marketing. Chaque attaque implique habituellement l’infrastructure de multiples entreprises. Les partenaires de VexTrio acheminent le trafic issu de leurs propres infrastructures (tels que des sites web compromis) vers les serveurs TDS gérés par VexTrio. Ce dernier redirige ensuite ce trafic de manière sélective vers les pages malveillantes d’autres intervenants ou vers d’autres réseaux affiliés.

Par ailleurs, VexTrio ne se limite pas à fournir l’infrastructure criminelle, mais joue également un rôle actif dans la menace en orchestrant lui-même des campagnes malveillantes.

Voici quelques-unes des principales conclusions du rapport :

  • VexTrio compte parmi ses partenaires des acteurs majeurs tels que ClearFake et SocGholish
  • Avec un réseau d’au moins 60 partenaires affiliés, VexTrio se distingue comme le plus grand courtier de trafic malveillant documenté dans les études de sécurité.
  • Le programme d’affiliation de VexTrio est géré de manière unique, en attribuant à chaque affilié un nombre restreint de serveurs dédiés. Les liens entre les affiliés de VexTrio semblent perdurer dans le temps. Par exemple, SocGholish est affilié à VexTrio depuis au moins avril 2022.
  • Les chaînes d’attaque orchestrées par VexTrio peuvent impliquer plusieurs acteurs. Infoblox a constaté jusqu’à quatre acteurs différents dans une seule séquence d’attaque.
  • VexTrio et ses affiliés exploitent de manière  abusive les programmes de recommandation associés à McAfee et Benaughty
  • VexTrio contrôle plusieurs réseaux TDS, chacun ayant son propre mode de fonctionnement. Infoblox a notamment révélé un nouveau TDS basé sur le DNS, observé pour la première fois fin décembre 2023.
  • Les schémas de génération de domaines de VexTrio sont en constante évolution. Se fier à une liste statique de mots ou de domaines de premier niveau (TLD) basée sur l’historique des domaines est une approche inefficace pour détecter les domaines VexTrio, dont le nombre dépasse les 70 000.
  • VexTrio a opéré un changement significatif en passant d’une infrastructure dédiée et de serveurs de noms de domaines dédiés à des hébergeurs d’infrastructures partagées. Depuis la première publication d’Infoblox sur VexTrio, plus de 55 % des domaines VexTrio qui étaient auparavant assignés à une infrastructure dédiée ont migré vers un hébergement partagé.

 

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.