La cadena de suministro del malware VexTrio

Tras analizar durante medio año 4,5 millones de registros DNS TXT, pertenecientes a sitios webs que había sido comprometidos, Infoblox Threat Intel detalla la actividad coordinada entre los hackers que se han especializado en atacar sitios web basados en WordPress y “diferentes agentes que operan TDS vinculados con el actor malicioso VexTrio”. Se trata de toda una cadena de suministro de malware adaptativa.

Cuando los investigadores interrumpieron el sistema de distribución de tráfico (TDS) de VexTrio, los actores que lo utilizaban migraron a un nuevo proveedor de TDS. Así se descubrió que varios de ellos “compartían elementos de software con el agente VexTrio”, con quien tienen una relación estrecha que les permite cambiar de TDS si les surge algún problema.

Infoblox identificó dos servidores Command-and-control en una infraestructura rusa, pero antes incluso de que se informara a las empresas de alojamiento de dominios de lo que sucedía, “los actores maliciosos que utilizaban la infraestructura de VexTrio modificaron sus procesos operativos”, utilizando un nuevo sistema llamado Help TDS. Una práctiva habitual del ecosistema de VexTrio es el uso de tecnologías de advertising, utilizando empresas especializadas como Partners House, Bro Push y RichAds.

La compañía considera este uso de Adtech como un punto débil de los atacantes. Una vez conocida la relación entre los hackers y VexTrio, han podido averiguar los “identificadores únicos para cada operador de malware en cada una de las empresas”, lo que podría ayudar a los proveedores de Adtech a identificarlos. En todo caso, Infoblox recomienda utilizar en los sistemas “una capa de seguridad basada en el servicio DNS, por ejemplo utilizando servicios Protective DNS, basados en inteligencia de seguridad”.