La firma de ciberseguridad Infoblox ha identificado una conexión directa entre hackers que comprometen sitios WordPress y redes de distribución de tráfico (TDS) relacionadas con el grupo malicioso VexTrio, una estructura compleja que actúa como intermediario clave en la cadena de suministro de múltiples campañas de malware.
El hallazgo fue realizado por Infoblox Threat Intel, la unidad de inteligencia de la compañía, mediante un conjunto de estudios observacionales en los que se introdujeron alteraciones deliberadas en el comportamiento de TDS sospechosos. Cuando se interrumpió la operativa de VexTrio, se observó que diversos agentes maliciosos migraron rápidamente a un nuevo sistema: Help TDS, aparentemente vinculado al mismo actor.
El análisis reveló que varios TDS del mercado compartían software y recursos con VexTrio, y que todos utilizaban tecnologías de advertising (Adtech) como Partners House, Bro Push o RichAds para distribuir contenido malicioso. Esto ha permitido rastrear las relaciones técnicas y operativas entre hackers y proveedores de tráfico, una táctica clave para personalizar y escalar ataques contra usuarios de todo el mundo.
Gracias al estudio de 4,5 millones de registros DNS TXT durante seis meses, Infoblox también localizó dos servidores de comando y control (C2) alojados en infraestructura rusa, aportando información crítica sobre la infraestructura DNS maliciosa que utilizan estos actores.
El uso de WordPress y otros CMS como punto de entrada convierte a VexTrio y sus asociados en una amenaza persistente. Según el informe, la estructura de VexTrio permite comprometer miles de sitios legítimos con rapidez, impactando negativamente en la reputación de marca de las organizaciones víctimas y exponiendo a millones de usuarios a campañas de malware personalizadas.
Además, la relación entre hackers y redes TDS maliciosas demuestra una gran capacidad de adaptación. Cuando sus operaciones son detectadas o interrumpidas, migran su infraestructura rápidamente y continúan explotando vulnerabilidades mediante canales alternativos, como nuevos TDS asociados.
Uno de los hallazgos más relevantes del informe de Infoblox es que el uso de tecnología Adtech es, a la vez, un punto fuerte y una debilidad para los atacantes. Al operar con plataformas comerciales de publicidad digital, los investigadores pudieron identificar identificadores únicos de operadores de malware, abriendo la puerta a la colaboración con los proveedores de Adtech para rastrear y desactivar campañas maliciosas.
Infoblox subraya la importancia de incluir soluciones de seguridad basadas en DNS para protegerse frente a TDS fraudulentos. Los servicios de Protective DNS, combinados con prácticas de auditoría y mantenimiento de registros DNS, pueden bloquear el acceso a contenidos maliciosos antes de que lleguen al usuario.
Asimismo, se aconseja reforzar la concienciación de los usuarios para evitar caer en trampas como las notificaciones push maliciosas, y deshabilitar servicios en la nube que ya no estén activos, eliminando sus registros DNS asociados.
Con este nuevo descubrimiento, la compañía refuerza su papel en la defensa avanzada del ecosistema DNS, una capa crítica y a menudo subestimada en las estrategias de ciberseguridad empresarial.
Anuncia el conjunto de servicios Amazon Bedrock AgentCore, una nueva categoría en AWS Marketplace y…
Entre los agentes integrados en esta plataforma se encuentran AI Developer, Quality Assurance, un Ingeniero…
Diferentes métodos como los datos móviles, las redes WiFi y las tarjetas SIM locales soportan…
El total de muestras de malware detectadas durante el primer trimestre del año asciende a…
La operadora pretendía subir el precio mensual de la línea fija telefónica 1P, que actualmente…
Se trata de ICT, ISS AV, parte de Smartcomm y la española AVANZIA, que le…