Недавнее исследование компании Infoblox раскрылосуществование масштабной “преступной аффилиативной программы”, в которую вовлечены известные киберпреступные группировки ClearFake, SocGholish и десятки других. Основным партнёром данной программы выступает VexTrio, который описан как “самый крупный посредник вредоносного трафика в истории кибербезопасности”.
Активность VexTrio началась ориентировочно в 2017 году. Группировка применяет алгоритм генерации доменов на основе словаря (
DDGA помогает злоумышленникам избегать обнаружения и блокировки, так как они могут менять доменные имена часто и в авторежиме. Каждый раз, когда вредоносная программа или бот связывается с сервером, он генерирует новое доменное имя на основе словаря и алгоритма, что делает его сложным для отслеживания и блокировки.