Кіберзлочинний маркетплейс Russian Market став одним із найпопулярніших майданчиків для купівлі та продажу облікових даних, викрадених за допомогою інфостілерів.
Хоча платформа функціонує вже майже 6 років і здобула певну популярність до 2022 року, останнім часом її популярність значно зросла, частково через ліквідацію Genesis Market, що створило вакуум у цій сфері. Про це йдеться в матеріалі Bleeping Computer.
Попри те, що більшість (85%) облікових даних, які продають на Russian Market, є переробленими із наявних джерел, платформа приваблює велику аудиторію кіберзлочинців завдяки широкому асортименту товарів і доступності логів за ціною від $2.
Логи інфостілерів зазвичай є текстовими файлами або кількома файлами, створеними шкідливим програмним забезпеченням, які містять паролі облікових записів, сесійні куки, дані кредитних карток, інформацію про криптовалютні гаманці та профілі систем, викрадені з інфікованого пристрою.
Кожен лог може містити десятки або навіть тисячі облікових даних, тому загальна кількість викрадених облікових даних може сягати сотень мільйонів або більше.
Після збору логи завантажуються назад на сервер зловмисника, де вони використовуються для подальшої шкідливої діяльності або продаються на маркетплейсах, таких як Russian Market.
Інфостілери стали надзвичайно популярним інструментом для зловмисників, причому багато кампаній тепер націлені на підприємства з метою викрадення сесійних куків і корпоративних облікових даних.
За даними ReliaQuest, це відображено на Russian Market, де 61% викрадених логів містять облікові дані SaaS-платформ, таких як Google Workspace, Zoom і Salesforce. Крім того, 77% логів мають облікові дані SSO (Single Sign-On).
«Скомпрометовані хмарні облікові записи надають зловмисникам доступ до критичних систем і створюють ідеальні умови для викрадення конфіденційних даних», — пояснили дослідники.
Lumma втрачає позиції, Acreed набирає обертів
ReliaQuest проаналізувала понад 1,6 мільйона постів на Russian Market, щоб відстежити зростання та падіння популярності конкретного шкідливого програмного забезпечення для викрадення інформації.
До недавнього часу більшість логів були викрадені за допомогою Lumma stealer, який становить 92% усіх логів облікових даних, проданих на Russian Market. Lumma домінував на ринку після краху Raccoon Stealer унаслідок дій правоохоронних органів. Однак схожа доля може чекати й на Lumma, оскільки його операції нещодавно викрили під час глобальної правоохоронної операції, коли було конфісковано 2300 доменів.
Довгострокові результати цієї операції залишаються незрозумілими. Check Point повідомляє, що розробники Lumma зараз намагаються відновити та перезапустити свої кіберзлочинні операції.
Тим часом ReliaQuest повідомляє про раптове зростання нового інфостілера під назвою Acreed, який швидко набирає популярності після ліквідації Lumma. Швидке зростання Acreed на Russian Market відображено в понад 4000 логів, завантажених протягом першого тижня його роботи.
Acreed не відрізняється від типового інфостілера щодо інформації, яку він націлює, включно з даними, збереженими у Chrome, Firefox та їхніх різних похідних. Зокрема йдеться про паролі, куки, криптовалютні гаманці та дані кредитних карток.
Інфостілери заражають користувачів через фішингові електронні листи, атаки ClickFix, шкідливу рекламу для преміум-програмного забезпечення, а також відео на YouTube або TikTok. Тому фахівці рекомендують бути пильними та дотримуватися безпеки під час завантаження програмного забезпечення, щоб уникнути цього поширеного ризику.
Читайте також на ProIT: Захист від квантових атак: Microsoft впроваджує новий стандарт у Windows.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
