Genesis Market Возвращается: Новый Вредоносный Браузерный Расширение Угрожает Пользователям

information security

Cybereason Security Services Team обнаружила новую волну вредоносной активности, связанной с возрождением Genesis Market - печально известной площадки для торговли украденными учетными данными, которую власти закрыли в начале 2023 года. В ходе расследования специалисты выявили использование Lummastealer - троянца, который распространяет вредоносное браузерное расширение Genesis Market в качестве финальной полезной нагрузки.

Описание

Genesis Market, появившийся в марте 2018 года, долгое время оставался одним из крупнейших рынков для торговли похищенными данными. Платформа предлагала доступ к информации с более чем 1,5 миллиона зараженных компьютеров по всему миру, включая учетные записи банков, государственных учреждений и корпоративных сетей. После его закрытия в ходе операции "Cookie Monster" правоохранительные органы изъяли 11 доменов, связанных с инфраструктурой Genesis Market. Однако, как показывает последний инцидент, злоумышленники нашли способ возродить свою деятельность.

Новое вредоносное расширение Genesis Market нацелено на популярные браузеры, включая Chrome, Opera, Brave и Microsoft Edge. Оно собирает конфиденциальные данные пользователей и отправляет их на серверы управления и контроля (C2). Среди похищаемой информации - история браузера, куки, данные буфера обмена, открытые вкладки, электронные письма (включая Gmail, Yahoo и Outlook), а также сведения о криптовалютных кошельках и платежных системах, таких как Google Pay и Facebook Payments. Кроме того, расширение делает скриншоты активных страниц через определенные промежутки времени и передает их злоумышленникам.

Атака начинается с фишинговой кампании, в ходе которой жертвам предлагается загрузить ZIP-архив, маскирующийся под легитимное ПО (например, установщик NVIDIA GeForce Experience). Внутри архива находится MSI-файл, который при запуске инициирует цепочку вредоносных действий. Сначала выполняется DLL-библиотека Lummastealer, после чего PowerShell-скрипт загружает зашифрованную полезную нагрузку с сервера злоумышленников. После декодирования скрипт устанавливает вредоносное расширение в браузеры жертвы, обеспечивая его автоматический запуск при каждом старте браузера.

Расширение обладает широкими возможностями: оно может отключать защитные механизмы, такие как Content Security Policy (CSP), обходить двухфакторную аутентификацию, перехватывать данные из форм платежных систем и даже создавать обратный прокси-канал для удаленного управления зараженным устройством. Особую опасность представляет использование блокчейн-транзакций для разрешения доменных имен C2-серверов, что затрудняет их отслеживание.

Эксперты Cybereason отмечают, что подобные атаки представляют серьезную угрозу как для частных пользователей, так и для организаций. Похищенные данные могут использоваться для финансового мошенничества, корпоративного шпионажа или последующих атак с применением ransomware.

Рекомендации по защите включают регулярное обновление браузеров и операционной системы, отказ от загрузки ПО из непроверенных источников, использование антивирусных решений с функцией мониторинга поведения процессов и внимательное отношение к подозрительным письмам и ссылкам. Также важно проверять установленные расширения в браузере и удалять неизвестные или ненужные дополнения.

Пока неизвестно, удастся ли правоохранительным органам вновь нейтрализовать Genesis Market, но ясно одно - киберпреступники продолжают совершенствовать свои методы, а значит, угроза остается актуальной. Пользователям и компаниям необходимо оставаться бдительными и принимать меры для защиты своих данных.

Индикаторы компрометации

IPv4

  • 104.21.13.217
  • 104.21.16.110
  • 104.21.53.8
  • 104.21.80.87
  • 172.67.176.159
  • 172.67.210.204

Domains

  • exilepolsiy.sbs
  • ghostreedmnu.shop
  • gutterydhowi.shop
  • gzipdot.com
  • hit-kick.com
  • isoplethui.sbs
  • laddyirekyi.sbs
  • last-blink.com
  • l-back.com
  • offensivedzvju.shop
  • offeviablwke.site
  • reinforcenh.shop
  • sergei-esenin.com
  • true-lie.com

SHA1

  • 0cbca4dbbdcb61e8336753bdabda33b56c51c52e
  • 359354ea44356f2ddea3f2c8bc558810533f95be
  • 95d2980786bc36fec50733b9843fde9eab081918
  • 9f3b02b148aa17094e7a13dbba3b49a279e12e80
  • b08f8b87efc450368816c769c8c1c54ff6da53b9
  • c07e49c362f0c21513507726994a9bd040c0d4eb
  • d363b062d0d8df89449faa0b9ac2e6e578054696
Комментарии: 0