Infoblox reveló información crítica sobre la entidad cibercriminal VexTrio, donde expone su compleja red de conexiones maliciosas con otras empresas cibercriminales, como ClearFake y SocGholish.

Este trabajo, realizado en colaboración con el investigador de seguridad que descubrió el malware ClearFake, tiene como objetivo revelar la profundidad de las afiliaciones de estos actores de amenazas y exponer sus actividades ilícitas que también se han detectado dentro de las redes a nivel mundial.

VexTrio controla una red grande y maliciosa que llega a una amplia audiencia de usuarios de Internet. A través de un programa de afiliados criminales con más de 60 socios, incluidas entidades de alto perfil como SocGholish y ClearFake, se destaca como el actor de amenazas de DNS más generalizado, operando durante seis años e impactando a más del 50% de las redes de clientes. Su papel como intermediario de tráfico invisible lo ha mantenido sin ser detectado por otros proveedores, lo que complica la detección y el seguimiento.

La investigación de Infoblox también ha generado otros hallazgos importantes. En particular:

• VexTrio opera su programa de afiliados de una manera única, proporcionando una pequeña cantidad de servidores dedicados a cada afiliado.
• Las relaciones con los afiliados de VexTrio parecen ser de larga data. Por ejemplo, SocGholish ha sido afiliado de VexTrio desde al menos abril de 2022. Si bien menos tiempo total, evaluamos que ClearFake ha trabajado con VexTrio durante toda su vida; al menos desde que lanzaron sus campañas en agosto de 2023.
• Las cadenas de ataques de VexTrio pueden incluir múltiples actores. Hemos observado a cuatro actores en una secuencia de ataque.
• VexTrio y sus afiliados están abusando de los programas de referencia relacionados con McAfee y Benaughty.
• VexTrio controla múltiples redes TDS, que funcionan de diferentes maneras. En particular, revelamos un nuevo TDS basado en DNS observado por primera vez a finales de diciembre de 2023.

Infoblox ha estado rastreando a VexTrio a través de DNS desde 2020, pero nueva evidencia muestra que su empresa comenzó en 2017, posiblemente antes. La evolución continua de VexTrio, junto con su asociación con actores importantes como SocGholish, resalta su papel crucial en la industria criminal, lo que contribuye a la falta de reconocimiento de la industria.

El programa de afiliados de VexTrio funciona de manera similar a una red de afiliados de marketing legítima. Cada ciberataque utiliza infraestructura DNS propiedad de múltiples entidades cibercriminales. Los afiliados cibercriminales participantes reenviarán el tráfico de usuarios procedente de sus propios servicios (como un sitio web comprometido) a servidores TDS controlados por VexTrio. Posteriormente, VexTrio retransmite estos flujos de tráfico de usuarios a otras redes de afiliados de ciberdelincuentes o a páginas web falsas. En muchos casos, VexTrio también redirige a las víctimas a sus campañas de phishing en curso.

Si bien SocGholish y ClearFake están más asociados con malware y páginas de actualización de software falsas, estas dos entidades operan servidores TDS para enrutar a los usuarios de Internet en función de sus detalles: información del dispositivo, sistema operativo, ubicación y otros datos personales.

La investigación subraya el papel fundamental del TDS en la economía del cibercrimen, estimada en 8 billones de dólares. A nivel mundial, el costo del delito cibernético se estima en más de 7 billones de dólares y se espera que crezca de manera constante a lo largo de los años. El rápido ritmo de la digitalización y la adopción acelerada de nuevas tecnologías la han convertido en uno de los principales focos de ciberdelincuencia.