TENDENCIA
Mohammed Al-Moneer , director regional de
META en Infoblox de riesgo , spyware , adware , programas potencialmente no deseados y contenido pornográfico . Este ataque está muy extendido e impacta objetivos en muchas industrias .
Los actores de VexTrio utilizan mucho los dominios y el protocolo DNS para operar sus campañas . Los actores aprovechan los sitios web vulnerables de WordPress como vectores de ataque para ofrecer contenido fraudulento a los visitantes del sitio web que no lo saben .
Para lograr esto , primero detectan sitios web que muestran vulnerabilidades de secuencias de comandos entre sitios ( XSS ) en temas o complementos de WordPress y luego inyectan código JavaScript malicioso en ellos . Cuando las víctimas visitan estos sitios web , son conducidas a una página web de destino que aloja contenido fraudulento , a través de uno o más dominios de redirección intermediarios que también están controlados por los actores .
Además , como un medio para evitar la detección , los actores han integrado varias funciones en su JavaScript y requieren las siguientes condiciones del usuario para activar la redirección :
• El usuario debe visitar el sitio web de WordPress desde un motor de búsqueda . Por ejemplo , la URL de referencia puede ser https :// www . google . com /.
• Las cookies están habilitadas en el navegador web del usuario .
• El usuario no ha visitado una página web comprometida de VexTrio en las últimas 24 horas .
Prevención y mitigación
VexTrio abusa principalmente de los sitios web vulnerables de WordPress para entregar contenido no deseado a los visitantes . Incrustar código JavaScript malicioso en blogs web visitados con frecuencia y otros sitios web populares pero vulnerables ayuda a los actores a ampliar su alcance . Infoblox evalúa que la campaña VexTrio DDGA podría servir como un vector de entrega para otros sindicatos de delitos cibernéticos y , por lo tanto , permitir ataques de seguimiento .
Infoblox recomienda las siguientes acciones para protegerse de este tipo de ataque :
• Deshabilitar completamente JavaScript en los navegadores web , o habilitarlo solo para sitios confiables , puede ayudar a mitigar los ataques empleados por los actores de VexTrio , quienes capitalizan el uso de JavaScript para ejecutar sus tareas .
• Considere usar un programa adblocker para bloquear cierto malware activado por anuncios emergentes . Junto con un bloqueador de anuncios , considere usar la extensión web NoScript , que permite que JavaScript y otro contenido potencialmente dañino se ejecuten solo desde sitios confiables para reducir la superficie de ataque disponible para los actores .
• La implementación de las fuentes RPZ de Infoblox en los firewalls puede detener la conexión de los actores a nivel de DNS , ya que todos los componentes descritos en este informe ( sitios web comprometidos , dominios de redireccionamiento intermediario , dominios DDGA y páginas de destino ) requieren el protocolo DNS . TIG detecta estos componentes diariamente y los agrega a las fuentes RPZ de Infoblox .
• Aprovechar el servicio Threat Insight de Infoblox , que realiza análisis de transmisión en tiempo real en consultas de DNS en vivo , puede brindar cobertura de alta seguridad y protección contra amenazas que se basan tanto en DGA como en DDGA . p
26 INTELLIGENTCIO LATAM www . intelligentcio . com / latam-es