Genesis Market предоставлял злоумышленникам уникальные инструменты для обхода защиты и взлома онлайн-банков.
4 апреля в ходе международной операции правоохранительных органов под руководством ФБР была захвачена одна из самых значительных среди киберпреступников торговых площадок Genesis Market.
Genesis Market, который функционировал как универсальный магазин для преступников, продавал как украденные учетные данные, так и инструменты для использования этих данных и был связан с миллионами киберинцидентов с кражей средств по всему миру – от мошенничества до атак программ-вымогателей.
В отличие от своих конкурентов, Genesis Market предоставлял киберпреступникам доступ к «ботам» или отпечаткам браузера, которые позволяли выдавать себя за веб-браузеры жертв, подменяя IP-адреса, сеансовые cookie-файлы, информацию об ОС и плагины.
Отпечатки браузера позволяли хакерам получить доступ к платформам, которые работают по подписке, например, Netflix. Кроме того, можно войти в онлайн-банк, не вызывая предупреждений безопасности. Используя украденные данные и отпечаток браузера, мошенники могут даже обходить многофакторную аутентификацию. Отпечатки в Genesis Store примечательны тем, что они эмулируют сеанс браузера жертвы.
Данные, включенные в «ботов», в основном были украдены с помощью инфостилеров. После покупки «ботов» информацию можно было импортировать в собственный браузер Genesis под названием Genesis Security, который также доступен в качестве расширения для других веб-браузеров. Боты позволяли преступникам маскироваться под украденными учетными данными.
Все необходимые данные копируются — местоположение, IP-адрес, информация о браузере и т. д. Когда у вас установлено расширение для браузера Genesis Store, вы можете импортировать бота вашей жертвы, и браузер немедленно перезагрузится, приняв профиль жертвы.
Браузер и подключаемый модуль для развертывания ботов
Genesis Market был сайтом только по приглашению, но его можно было найти через обычные поисковые системы. Как и в случае с большинством крупных преступных форумов, коды приглашения были широко доступны, даже предлагались в видео на YouTube.
Общее количество жертв Genesis Market неизвестно, однако ИБ-компания Recorded Future обнаружила, что с 2018 года на платформе было зарегистрировано около 135 млн. отдельных ботов.
Основываясь на текущем количестве активных объявлений, сопоставленном с объемом выборки из общего числа ссылок на платформу за последний месяц (1,3 млн.), возможно, что в Genesis Store было от 30 до 50 млн. активных списков ботов за время его существования.
Низкий порог входа был частью концепции криминальной службы, которая функционировала как универсальный центр для мошенничества. Genesis даже предоставлял страницу с инструкциями о том, как работает платформа и как совершать киберпреступления.
Стоит отметить, что ботнет контролируется администрацией Genesis Market. Другими словами, операторы Genesis также имели постоянный доступ к зараженным машинам. Это является одним из критериев, которые сделали Genesis Store таким эффективным для преступников. Постоянная связь с зараженной машиной означает, что «бот» постоянно обновляется, и отпечаток остаётся всегда актуальным.
4 апреля в ходе международной операции правоохранительных органов под руководством ФБР была захвачена одна из самых значительных среди киберпреступников торговых площадок Genesis Market.
Genesis Market, который функционировал как универсальный магазин для преступников, продавал как украденные учетные данные, так и инструменты для использования этих данных и был связан с миллионами киберинцидентов с кражей средств по всему миру – от мошенничества до атак программ-вымогателей.
В отличие от своих конкурентов, Genesis Market предоставлял киберпреступникам доступ к «ботам» или отпечаткам браузера, которые позволяли выдавать себя за веб-браузеры жертв, подменяя IP-адреса, сеансовые cookie-файлы, информацию об ОС и плагины.
Отпечатки браузера позволяли хакерам получить доступ к платформам, которые работают по подписке, например, Netflix. Кроме того, можно войти в онлайн-банк, не вызывая предупреждений безопасности. Используя украденные данные и отпечаток браузера, мошенники могут даже обходить многофакторную аутентификацию. Отпечатки в Genesis Store примечательны тем, что они эмулируют сеанс браузера жертвы.
Данные, включенные в «ботов», в основном были украдены с помощью инфостилеров. После покупки «ботов» информацию можно было импортировать в собственный браузер Genesis под названием Genesis Security, который также доступен в качестве расширения для других веб-браузеров. Боты позволяли преступникам маскироваться под украденными учетными данными.
Все необходимые данные копируются — местоположение, IP-адрес, информация о браузере и т. д. Когда у вас установлено расширение для браузера Genesis Store, вы можете импортировать бота вашей жертвы, и браузер немедленно перезагрузится, приняв профиль жертвы.
Браузер и подключаемый модуль для развертывания ботов
Genesis Market был сайтом только по приглашению, но его можно было найти через обычные поисковые системы. Как и в случае с большинством крупных преступных форумов, коды приглашения были широко доступны, даже предлагались в видео на YouTube.
Общее количество жертв Genesis Market неизвестно, однако ИБ-компания Recorded Future обнаружила, что с 2018 года на платформе было зарегистрировано около 135 млн. отдельных ботов.
Основываясь на текущем количестве активных объявлений, сопоставленном с объемом выборки из общего числа ссылок на платформу за последний месяц (1,3 млн.), возможно, что в Genesis Store было от 30 до 50 млн. активных списков ботов за время его существования.
Низкий порог входа был частью концепции криминальной службы, которая функционировала как универсальный центр для мошенничества. Genesis даже предоставлял страницу с инструкциями о том, как работает платформа и как совершать киберпреступления.
Стоит отметить, что ботнет контролируется администрацией Genesis Market. Другими словами, операторы Genesis также имели постоянный доступ к зараженным машинам. Это является одним из критериев, которые сделали Genesis Store таким эффективным для преступников. Постоянная связь с зараженной машиной означает, что «бот» постоянно обновляется, и отпечаток остаётся всегда актуальным.
- Источник новости
- www.securitylab.ru