Pendahuluan: Mengungkap Jaringan VexTrio
VexTrio adalah organisasi cybercriminal dengan jangkauan luas yang telah beroperasi selama lebih dari 15 tahun tanpa konsekuensi hukum yang signifikan. Di inti operasi mereka terdapat penipuan dan spam, dengan teknik yang canggih untuk menghindari deteksi dan memaksimalkan keuntungan. Laporan mendalam dari Infoblox Threat Intel, yang merupakan bagian kedua dari seri tiga bagian, mengungkap bagaimana VexTrio memanfaatkan situs web yang dikompromikan, pesan Instagram, Facebook, dan bahkan alat keamanan email untuk mengarahkan korban ke halaman penipuan mereka. Dengan gambar CAPTCHA robot palsu yang terkenal, VexTrio telah menjadi subjek banyak laporan tentang aktivitas curang selama bertahun-tahun. Artikel ini akan membahas aktivitas penipuan mereka, hubungan dengan mitra bisnis, dan implikasi bagi keamanan siber, berdasarkan penelitian hampir satu tahun dari Infoblox.
Aktivitas Penipuan dan Spam VexTrio
VexTrio mengoperasikan jaringan afiliasi yang menawarkan smartlinks di berbagai vertikal, termasuk kencan, kripto, dan undian. Tautan-tautan ini menyembunyikan (cloaking) halaman tujuan untuk menghindari analisis oleh tim keamanan. Mereka disematkan ke situs web yang dikompromikan, pesan Instagram, Facebook, dan bahkan alat keamanan email. Terlepas dari titik awal, halaman akhir semuanya adalah penipuan, baik dari pengalaman kami maupun laporan luas dari industri.
Meskipun fakta bahwa sistem distribusi lalu lintas (TDS) VexTrio mengirimkan penipuan telah diketahui, tidak banyak yang menyadari bahwa sebagian besar waktu VexTrio mengirimkan konten penipuan mereka sendiri, bukan dari pengiklan independen. Akibatnya, mereka mendapat manfaat ganda dari menyematkan smartlinks mereka di situs web yang dikompromikan dan media sosial. Situs penipuan mencakup berbagai vertikal pemasaran, paling umum kencan dan kriptocurrency. Banyak jaringan afiliasi akan mengklaim penyalahgunaan ketika pengiklan mengirimkan konten berbahaya kepada pengguna, tetapi VexTrio sulit membuat klaim ini karena bukti kuat menunjukkan bahwa mereka mengendalikan halaman tujuan.
VexTrio juga menawarkan VPN palsu, pemblokir iklan, dan aplikasi lain. Tersedia di Google Play dan App Store, serta melalui situs unduh langsung, aplikasi-aplikasi ini telah diunduh lebih dari satu juta kali secara agregat selama beberapa tahun. Mereka menampilkan iklan tanpa henti kepada pengguna, mengikat mereka ke dalam kontrak berlangganan yang sulit dibatalkan, dan meyakinkan mereka untuk mengungkapkan informasi pribadi seperti alamat email.
Hubungan dengan Mitra Bisnis dan Tumpang Tindih yang Mencurigakan
Perangkat lunak ini juga mengungkap garis kabur antara VexTrio dan mitra bisnis mereka. Aplikasi yang dibuat oleh VexTrio tampak identik dengan yang ditawarkan oleh dua pengiklan mereka yang berbasis di Praha, dan mereka berbagi hosting dengan grup pengembangan VexTrio, HolaCode. Tumpang tindih ini menimbulkan pertanyaan tentang hubungan antara VexTrio dan pengiklan VexTrio. Seberapa berbeda mereka? Di luar kode bersama, ada tautan pribadi: seorang pendiri salah satu perusahaan, Techintrade, juga pernah menjadi manajer di perusahaan lain yang terkait dengan VexTrio.
Entitas bisnis dengan hubungan penting dengan tokoh kunci VexTrio mencakup perusahaan pemasaran, organisasi pengembangan perangkat lunak, pemrosesan pembayaran, sistem akses fisik, dan resor ski. Meskipun VexTrio mengklaim beroperasi sebagai jaringan afiliasi, bukti menunjukkan bahwa mereka tidak hanya mendistribusikan lalu lintas ke penipuan, tetapi juga menciptakan dan mengendalikan konten penipuan tersebut. Hal ini memungkinkan mereka mendapatkan keuntungan dari berbagai sumber, termasuk pendapatan afiliasi dan langganan aplikasi yang menyesatkan.
Dampak dan Implikasi untuk Keamanan Siber
Aktivitas VexTrio mencakup berbagai bentuk penipuan, mulai dari push-notification palsu hingga cerita sukses investasi yang terlalu bagus untuk menjadi kenyataan, yang mengarahkan lalu lintas ke penipuan kriptocurrency, atau penyalahgunaan merek dagang yang mencolok di platform seperti TikTok dan Tinder untuk meningkatkan rujukan afiliasi ke situs dewasa. VexTrio mewakili praktik yang dikecam oleh komunitas keamanan, namun telah beroperasi selama 15 tahun tanpa konsekuensi hukum yang signifikan.
Kutipan “Tidak ada yang lebih menipu daripada fakta yang jelas” oleh Arthur Conan Doyle (melalui Sherlock Holmes) mengingatkan kita bahwa bahkan profesional keamanan yang terdidik mudah tertipu oleh kondisi yang sederhana untuk diinterpretasikan. Terlalu sering, otoritas internet mengabaikan apa pun yang terlihat seperti adtech sebagai gangguan rendah. Penjahat siber dapat mengeksploitasi kecenderungan ini, menyajikan fakta selektif yang tampak jelas sambil menyembunyikan realitas yang lebih besar dan berbahaya. Dan ini menimbulkan pertanyaan, berapa lama kita sebagai komunitas terus menutup mata terhadap cerita seperti VexTrio? Upaya takedown kami telah menyebabkan gangguan sementara, tetapi masih jauh dari mengakhiri skema ini.
Kami menutup dengan garis terkenal Publilius Syrus: “Fraus est celare fraudem”—menyembunyikan penipuan itu sendiri adalah penipuan.
Kesimpulan: Waktu untuk Bertindak
VexTrio adalah contoh nyata bagaimana organisasi cybercriminal dapat berkembang dengan memanfaatkan celah dalam keamanan dan regulasi. Dengan operasi yang mencakup spam, penipuan, dan aplikasi menyesatkan, VexTrio telah memengaruhi jutaan pengguna secara global. Namun, dengan pemahaman yang lebih baik tentang operasi mereka, organisasi keamanan dan otoritas dapat mengambil langkah untuk mengganggu aktivitas mereka. Infoblox Threat Intel terus memantau ancaman seperti ini, memberikan intelijen DNS orisinal untuk mengidentifikasi dan memitigasi risiko sebelum menjadi masalah besar.
Jangan biarkan ancaman seperti VexTrio mengkompromikan keamanan Anda. Dengan Infoblox Threat Intel, Anda mendapatkan akses ke intelijen DNS orisinal yang memungkinkan deteksi dini ancaman cybercriminal. Kunjungi situs resmi Infoblox.ilogoindonesia.com untuk mengunduh laporan lengkap tentang VexTrio dan akses repositori GitHub kami untuk domain dan indikator terkait. Daftar untuk menerima pembaruan intelijen ancaman dan mulailah memperkuat pertahanan siber Anda hari ini!
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan infoblox indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi infoblox.ilogoindonesia.id untuk informasi lebih lanjut!