kras99 - stock.adobe.com
Hackers de WordPress vinculados con TDS relacionados con VexTrio
Infoblox dijo que descubrió un patrón común en el uso de adtech por agentes maliciosos, lo que ha servido para rastrear esta relación y obtener información sobre campañas de malware en DNS.
La unidad de inteligencia de seguridad de Infoblox, Threat Intel, dio a conocer que ha detectado una actividad aparentemente coordinada entre hackers que atacan sitios de WordPress y diferentes agentes que operan sistemas de distribución de tráfico (TDS) vinculados con el actor malicioso VexTrio.
Este hallazgo fue realizado tras una serie de estudios observacionales consistentes en introducir perturbaciones en los procesos operativos del agente VexTrio para observar cómo se adapta a los cambios. El primer indicio se obtuvo cuando, una vez interrumpido el TDS de este agente malicioso, varios actores de malware que lo utilizaban como parte de su cadena de suministro migraron a un nuevo proveedor de TDS.
Posteriormente, se descubrió que varios proveedores TDS del mercado compartían elementos de software con el agente VexTrio, y que todos ellos se beneficiaban de la exclusiva relación que este actor malicioso tiene con actores de malware para sitios web. Finalmente, se hizo evidente que el uso de tecnologías de publicidad (Adtech) por parte de estos agentes, y la capacidad para entender las técnicas DNS que han utilizado, permitieron identificar esta relación.
Análisis de telemetría DNS y detección de amenazas
Infoblox Threat Intel analizó 4,5 millones de registros DNS TXT de sitios web comprometidos, durante un período de seis meses, para identificar dos servidores de comando y control (C2) alojados en una infraestructura rusa, lo que proporcionó importante información sobre la infraestructura y modus operandi de campañas de malware DNS.
Los actores maliciosos que utilizaban la infraestructura de VexTrio modificaron sus procesos operativos antes de que se informara a las empresas de alojamiento de dominios del uso malicioso de los mismos, y sugirieron a sus usuarios migrar a un sistema aparentemente nuevo, conocido como Help TDS. Después se descubrió que muchos otros TDS compartían una gran cantidad de recursos con VexTrio, incluyendo la utilización de servicios de varias empresas del mercado especializadas en adtech, como Partners House, Bro Push y RichAds.
Esta relación entre hackers de sitios web y VexTrio supone una amenaza importante, afirma Infoblox. “En primer lugar, pone de manifiesto la rápida capacidad de adaptación de estos actores maliciosos. En segundo lugar, se ha visto que disponen de una gran capacidad para escalar su infraestructura y ataques, lo que se refuerza con el uso de tecnologías de advertising, que permite entregar contenido altamente personalizado a millones de usuarios. Por último, esta infraestructura permite atacar miles de sitios web legítimos que utilizan WordPress u otros sistemas de gestión de contenido, lo que afecta la marca y la reputación de las organizaciones que representan”, señalaron desde la empresa.
Para Infoblox Threat Intel, el uso de tecnologías de advertising por parte de los actores maliciosos podría ser, a su vez, su talón de Aquiles. Al descubrirse la relación entre hackers de sitios web y VexTrio, “se ha podido averiguar que existen identificadores únicos para cada operador de malware en cada una de las empresas. El siguiente paso será conseguir la colaboración de los proveedores de adtech para identificar a los actores maliciosos que utilizan su tecnología con objetivos fraudulentos”, comentaron.
Defensa con DNS frente al uso fraudulento de TDS
Los agentes maliciosos utilizan sistemas de distribución de tráfico (TDS) como parte de su cadena de suministro para multiplicar el alcance y la efectividad de sus ataques. Para protegerse de este tipo de ataques, Infoblox recomendó a las organizaciones añadir a sus sistemas una capa de seguridad basada en el servicio DNS para impedir a los usuarios el acceso a medios y plataformas falsos.
“Además, deben implementar prácticas robustas de gestión de DNS, incluyendo auditorías periódicas de los registros DNS y la eliminación inmediata de los registros asociados con servicios en la nube interrumpidos”, y se debe formar al usuario para que rechace las solicitudes de notificaciones push de sitios web desconocidos para así evitar ser víctima de estafas, aconsejaron.
Investigue más sobre Gestión de la seguridad
-
![]()
Conozca qué rol tiene el DNS en la seguridad empresarial
Por: Melisa Osores
-
![]()
Inteligencia de amenazas debe modernizarse frente a la ciberdelincuencia con IAGen
-
![]()
Autenticación multifactor: ¿escudo infalible o falsa sensación de seguridad?
-
![]()
DDI y las arquitecturas de zero trust refuerzan la seguridad de las redes
