Cybereason Security Services Team обнаружила новую волну вредоносной активности, связанной с возрождением Genesis Market - печально известной площадки для торговли украденными учетными данными, которую власти закрыли в начале 2023 года. В ходе расследования специалисты выявили использование Lummastealer - троянца, который распространяет вредоносное браузерное расширение Genesis Market в качестве финальной полезной нагрузки.
Описание
Genesis Market, появившийся в марте 2018 года, долгое время оставался одним из крупнейших рынков для торговли похищенными данными. Платформа предлагала доступ к информации с более чем 1,5 миллиона зараженных компьютеров по всему миру, включая учетные записи банков, государственных учреждений и корпоративных сетей. После его закрытия в ходе операции "Cookie Monster" правоохранительные органы изъяли 11 доменов, связанных с инфраструктурой Genesis Market. Однако, как показывает последний инцидент, злоумышленники нашли способ возродить свою деятельность.
Новое вредоносное расширение Genesis Market нацелено на популярные браузеры, включая Chrome, Opera, Brave и Microsoft Edge. Оно собирает конфиденциальные данные пользователей и отправляет их на серверы управления и контроля (C2). Среди похищаемой информации - история браузера, куки, данные буфера обмена, открытые вкладки, электронные письма (включая Gmail, Yahoo и Outlook), а также сведения о криптовалютных кошельках и платежных системах, таких как Google Pay и Facebook Payments. Кроме того, расширение делает скриншоты активных страниц через определенные промежутки времени и передает их злоумышленникам.
Атака начинается с фишинговой кампании, в ходе которой жертвам предлагается загрузить ZIP-архив, маскирующийся под легитимное ПО (например, установщик NVIDIA GeForce Experience). Внутри архива находится MSI-файл, который при запуске инициирует цепочку вредоносных действий. Сначала выполняется DLL-библиотека Lummastealer, после чего PowerShell-скрипт загружает зашифрованную полезную нагрузку с сервера злоумышленников. После декодирования скрипт устанавливает вредоносное расширение в браузеры жертвы, обеспечивая его автоматический запуск при каждом старте браузера.
Расширение обладает широкими возможностями: оно может отключать защитные механизмы, такие как Content Security Policy (CSP), обходить двухфакторную аутентификацию, перехватывать данные из форм платежных систем и даже создавать обратный прокси-канал для удаленного управления зараженным устройством. Особую опасность представляет использование блокчейн-транзакций для разрешения доменных имен C2-серверов, что затрудняет их отслеживание.
Эксперты Cybereason отмечают, что подобные атаки представляют серьезную угрозу как для частных пользователей, так и для организаций. Похищенные данные могут использоваться для финансового мошенничества, корпоративного шпионажа или последующих атак с применением ransomware.
Рекомендации по защите включают регулярное обновление браузеров и операционной системы, отказ от загрузки ПО из непроверенных источников, использование антивирусных решений с функцией мониторинга поведения процессов и внимательное отношение к подозрительным письмам и ссылкам. Также важно проверять установленные расширения в браузере и удалять неизвестные или ненужные дополнения.
Пока неизвестно, удастся ли правоохранительным органам вновь нейтрализовать Genesis Market, но ясно одно - киберпреступники продолжают совершенствовать свои методы, а значит, угроза остается актуальной. Пользователям и компаниям необходимо оставаться бдительными и принимать меры для защиты своих данных.
Индикаторы компрометации
IPv4
- 104.21.13.217
- 104.21.16.110
- 104.21.53.8
- 104.21.80.87
- 172.67.176.159
- 172.67.210.204
Domains
- exilepolsiy.sbs
- ghostreedmnu.shop
- gutterydhowi.shop
- gzipdot.com
- hit-kick.com
- isoplethui.sbs
- laddyirekyi.sbs
- last-blink.com
- l-back.com
- offensivedzvju.shop
- offeviablwke.site
- reinforcenh.shop
- sergei-esenin.com
- true-lie.com
SHA1
- 0cbca4dbbdcb61e8336753bdabda33b56c51c52e
- 359354ea44356f2ddea3f2c8bc558810533f95be
- 95d2980786bc36fec50733b9843fde9eab081918
- 9f3b02b148aa17094e7a13dbba3b49a279e12e80
- b08f8b87efc450368816c769c8c1c54ff6da53b9
- c07e49c362f0c21513507726994a9bd040c0d4eb
- d363b062d0d8df89449faa0b9ac2e6e578054696