En mettant à jour et en dévoilant précisément ces structures et leur fonctionnement, Infoblox cherche à alerter le plus grand nombre sur le danger que constituent les systèmes de distribution de trafic (TDS). De plus, l’entreprise plaide pour une coopération renforcée au sein du secteur afin de détecter, identifier et combattre efficacement les fournisseurs de TDS malintentionnés.

Comment se déroule le programme d’affiliation de VexTrio ?

Le programme d’affiliation de VexTrio s’opère de la même manière que les réseaux légitimes d’affiliation du secteur marketing. Chaque attaque implique habituellement l’infrastructure de multiples entreprises. Les partenaires de VexTrio acheminent le trafic issu de leurs propres infrastructures (tels que des sites web compromis) vers les serveurs TDS gérés par VexTrio. Ce dernier redirige ensuite ce trafic de manière sélective vers les pages malveillantes d’autres intervenants ou vers d’autres réseaux affiliés.

Par ailleurs, VexTrio ne se limite pas à fournir l’infrastructure criminelle, mais joue également un rôle actif dans la menace en orchestrant lui-même des campagnes malveillantes.
Voici quelques-unes des principales conclusions du rapport :
• VexTrio compte parmi ses partenaires des acteurs majeurs tels que ClearFake et SocGholish.
• Avec un réseau d’au moins 60 partenaires affiliés, VexTrio se distingue comme le plus grand courtier de trafic malveillant documenté dans les études de sécurité.
• Le programme d’affiliation de VexTrio est géré de manière unique, en attribuant à chaque affilié un nombre restreint de serveurs dédiés. Les liens entre les affiliés de VexTrio semblent perdurer dans le temps. Par exemple, SocGholish est affilié à VexTrio depuis au moins avril 2022.
• Les chaînes d’attaque orchestrées par VexTrio peuvent impliquer plusieurs acteurs. Infoblox a constaté jusqu’à quatre acteurs différents dans une seule séquence d’attaque.
• VexTrio et ses affiliés exploitent de manière abusive les programmes de recommandation associés à McAfee et Benaughty.
• VexTrio contrôle plusieurs réseaux TDS, chacun ayant son propre mode de fonctionnement. Infoblox a notamment révélé un nouveau TDS basé sur le DNS, observé pour la première fois fin décembre 2023.
• Les schémas de génération de domaines de VexTrio sont en constante évolution. Se fier à une liste statique de mots ou de domaines de premier niveau (TLD) basée sur l’historique des domaines est une approche inefficace pour détecter les domaines VexTrio, dont le nombre dépasse les 70 000.
• VexTrio a opéré un changement significatif en passant d’une infrastructure dédiée et de serveurs de noms de domaines dédiés à des hébergeurs d’infrastructures partagées. Depuis la première publication d’Infoblox sur VexTrio, plus de 55 % des domaines VexTrio qui étaient auparavant assignés à une infrastructure dédiée ont migré vers un hébergement partagé.