Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Siber Suç Grupları, Mağdurların Kötü Amaçlı İçeriklerine Yönlendirilmesine Yardımcı Olmak İçin VexTrio’yu Kiralıyor
Mathew J. Schwartz (euroinfosec) •
23 Ocak 2024
Sanki siber suç ekosistemi zaten yeterince zarar vermiyormuş gibi, güvenlik araştırmacıları, araştırmacıların en büyük trafik komisyonculuğu sağlayıcısı olduğunu söylediği bir çevrimiçi yönlendirme hizmeti aracılığıyla bu ekosistemin profesyonelleştiğine ve uzmanlaştığına dair daha fazla kanıt keşfettiler.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Siber güvenlik firması Infoblox, iki tanınmış siber suç grubunun, SocGholish ve ClearFake’in, kurbanları bilinenler aracılığıyla kötü amaçlı sitelerine yönlendirmek için kiraladıkları kötü niyetli bir trafik komisyoncusu olan VexTrio ile ilişkisi var gibi görünen düzinelerce farklı tehdit grubu arasında yer aldığını söyledi. trafik dağıtım sistemi olarak Bir TDS, mağdurları cihaz türü, konum ve tarayıcılarında mevcut olan bilinen güvenlik açıkları dahil olmak üzere bir dizi faktöre göre değerlendirir ve onları müşterilerin gereksinimlerine göre yönlendirir.
Santa Clara, Kaliforniya merkezli Infoblox’un yeni bir raporuna göre VexTrio, altı yıl önceki kuruluşundan bu yana 60’tan fazla bağlı kuruluş tarafından kullanılan birden fazla trafik dağıtım sistemi kurdu ve bakımını yaptı.
Bu zaman diliminde araştırmacılar, VexTrio’yu birden fazla meşru alan adının (bir vakada, Kolombiya’da kötü amaçlı JavaScript bulaşmış, güvenliği ihlal edilmiş bir hastane web sitesi) ve özellikle de kullanıcı trafiğini yeniden yönlendirmelerine olanak tanıyan, bilinen güvenlik açıklarına sahip WordPress sitelerinin ele geçirilmesiyle ilişkilendirdiler. VexTrio ayrıca sözlük tabanlı bir alan adı oluşturma algoritması kullanarak “günlük olarak en az 70.000 kötü amaçlı alan adına ulaşan” “büyük miktarlarda alan adını” kaydetmeye devam ediyor ve onlara kötü amaçlı yazılımları barındırmak için hazır, sürekli değişen bir alan kaynağı sağlıyor. içerik.
TDS terimi, bireysel internet kullanıcılarını takip eden ve onlara alakalı reklamlar sunmaya çalışan aracıları ifade ettiği pazarlama alanından gelmektedir. Siber suçlar bu yaklaşımı benimser ve genellikle meşru reklamları, her zaman hoş karşılanmasa da, kurbanlara kötü amaçlı içerik sunma lehine değiştirir.
Uzmanlar, tıpkı meşru reklamcılıkta olduğu gibi, pek çok siber suç grubunun, bir TDS sağlayıcısına sağladıkları çeşitli kriterleri temel alarak yüksek kaliteli yönlendirmeler için ödeme yapmaya hazır ve istekli göründüğünü söylüyor.
Infoblox, siber suçlular için “tarayıcı ayarları ve önbelleğe alınmış veriler de dahil olmak üzere kurbanın profilini analiz etmekten bir TDS sorumludur” dedi. “Profilleri VexTrio’nun hedef kriterleriyle eşleşiyorsa, bir TDS söz konusu web ziyaretçisini gayri meşru içeriğe yönlendirecektir.” Tüm bunları yaparken yönlendirme sayısı ve başarı oranı gibi ölçümleri korur ve bağlı kuruluşlardan gelen yönlendirmeleri kredilendirir.
Bazı durumlarda TDS, kullanıcıyı JavaScript veya kötü amaçlı HTML enjekte etmek, Glupteba gibi kötü amaçlı yazılımları, başka bir kötü amaçlı yazılım geliştiricisine veya hizmet olarak kötü amaçlı yazılım grubuna bağlı kötü amaçlı kodları veya fidye yazılımlarını göndermek üzere tasarlanmış bir web sitesine yönlendirebilir. Bazen kurbanlar sahte flört profillerinin, yazılım uygulaması güncellemelerinin veya teknik destek dolandırıcılık sayfalarının yer aldığı sayfalara gönderilir. Diğer zamanlarda TDS, yukarıda belirtilen sayfa türlerinden birine yönlendirmeden önce, kısmen neler olabileceğini gizlemek için kullanıcıyı başka bir TDS’ye devredebilir.
SocGholish ve ClearFake gibi gruplar, kurbanlara kötü amaçlı yazılım bulaştırmak için tasarlanmış diğer tuzak türlerinin yanı sıra, kullanıcılara tarayıcılar ve Microsoft Teams için sahte güncellemeler sunarak uzun süredir sosyal mühendislik saldırılarını kullanıyor.
Infoblox, SocGholish ve ClearFake’in kendi TDS’lerini yönetirken, aynı zamanda VexTrio ile kurbanları TDS’ye aktardıkları “stratejik ortaklıklara” sahip göründüklerini söyledi. Bu grupların paylaştığı mali veya diğer düzenlemelerin ne olduğu net değil.
Infoblox, bu tür kötü amaçlı altyapıları tanımlamanın zorluklarından birinin, genellikle meşru pazarlama operasyonlarına ve meşru reklam trafiğinin yönetilmesine benzemesi olduğunu söyledi. “VexTrio’nun, Urchin İzleme Modülü gibi ortak reklam bağlı kuruluş anahtar kelimeleriyle ve teknoloji markalarını ihlal eden benzer TDS alan adlarıyla örtüşen URL sorgu parametre adlarını kullanması” dedi.
VexTrio gibi kötü amaçlı trafik dağıtım sistemi operatörlerinin kullanıcıları zorla kötü amaçlı içeriğe yönlendirme girişimlerini karmaşıklaştırmak için Infoblox, kuruluşların birden fazla stratejiyi hayata geçirmesini öneriyor. Bunlar arasında, kullanıcıların Güvenli Yuva Katmanı sertifikasına sahip web sitelerine göz atmasının kısıtlanması da yer alır; bu da URL’lerin şununla başlamasına neden olur: https ziyade httpgüvenilmeyen web sitelerinden gelen anlık bildirimleri engellemek ve yalnızca açılır pencereleri değil, saldırganların kötüye kullanabileceği diğer işlevleri de engellemek için reklam engelleme yazılımı kullanmak.