Il famigerato Genesis Market, che è stato chiuso questa settimana grazie a un’operazione di polizia internazionale che ha coinvolto 17 paesi, vendeva l’accesso a milioni di computer vittime ottenuto tramite l’infostealer DanaBot e probabilmente altri malware. Trellix, la società di cybersicurezza che ha contribuito in modo determinante alla chiusura di Genesis, ha dichiarato che il malware utilizzato dal marketplace forniva l’accesso ai cookie, ai dati dei moduli di riempimento automatico e ad altre credenziali dei browser dei PC colpiti.

“La chiusura di Genesis Market è l’ennesimo successo che dimostra come le partnership pubblico-privato siano fondamentali nella lotta alla criminalità informatica” ha dichiarato John Fokker, responsabile dell’intelligence sulle minacce presso il Centro di Ricerca Avanzata di Trellix ad Amsterdam. “Abbiamo monitorato il mercato per molti anni e siamo orgogliosi di aver partecipato all’eliminazione di questo famigerato marketplace”. Un’analisi di Trellix è riuscita a rintracciare solo 450.000 bot malware rispetto agli 1,5 milioni annunciati dalle forze dell’ordine, soprattutto perché Trellix non aveva accesso all’intero database storico. I bot in vendita e analizzati da Trellix sono malware con collegamenti in tempo reale ai computer delle vittime e sono il risultato di infezioni accuratamente create in più fasi.

Bot malware venduti per centinaia di dollari

Il prezzo per ogni bot su Genesis Market variava da un minimo di 0,70 dollari a diverse centinaia di dollari, a seconda della quantità e della natura dei dati rubati, secondo un documento dell’Europol. L’operazione internazionale è stata condotta dal Federal Bureau of Investigation (FBI) degli Stati Uniti e dalla polizia nazionale olandese, con un posto di comando istituito presso la sede di Europol all’Aia, nei Paesi Bassi. Ha portato a 119 arresti, 208 perquisizioni di proprietà e 97 misure di “knock-and-talk”. 45 uffici dell’FBI hanno lavorato all’indagine, soprannominata Operation Cookie Monster, ha dichiarato il Dipartimento di Giustizia degli Stati Uniti nel comunicato stampa di due giorni fa che annunciava gli esiti dell’operazione. 

Trellix ha osservato un file “setup.exe” come vettore di infezione iniziale. Si trattava di un file eseguibile multistadio le cui dimensioni erano state gonfiate (99,3%) a 440 MB attraverso la tecnica del null padding. L’eseguibile è stato osservato essere un Inno Setup autentico, un file di installazione di software benigno che è stato utilizzato da Genesis per l’iniezione malevola. Nella seconda fase, l’eseguibile rilasciava un file DLL (Dynamic Link Library), “yvibiajwi.dll”, nella cartella temporanea del computer vittima situata in %temp%.

La DLL, che include codice “spazzatura” per evitare il rilevamento, produce un file eseguibile portatile (PE) indirizzato a “explorer.exe”, un processo di avvio di Windows. La fase finale dell’attacco consiste nell’utilizzare il sistema compromesso per stabilire una connessione con il server di comando e controllo (C&C) utilizzato dall’aggressore per scaricare un altro binario che, come riscontrato nei campioni analizzati da Trellix, assomiglia alla famiglia DanaBot.

alchimist

Utilizzo di malware di base

Poiché il dominio C&C non era disponibile al momento dell’analisi, Trellix ha ipotizzato che il dominio distribuisca principalmente malware di base, tra cui non solo DanaBot ma anche altri, come AZORult, Raccoon e Redline. “I campioni che abbiamo esaminato e che sono stati condivisi dalla polizia olandese appartenevano alla famiglia DanaBot, oltre a malware di proprietà (file javascript) che Genesis installa nel browser della vittima per rubarne i preziosi dati”, ha dichiarato Fokker. Nell’ultima fase degli attacchi malware, il binario scaricato (DanaBot) viene eseguito in un’estensione Chrome dannosa e in file JavaScript associati. L’estensione di Chrome viene utilizzata per rubare informazioni sul browser come cookie, cronologia del browser, informazioni sulle schede e altro ancora, in un formato uniforme.

I file JavaScript includono codici per l’iniezione di e-mail che utilizzano un’API Chromium esposta per tracciare le caselle di posta dell’utente dalle schede Chrome aperte e accedere alle informazioni per inscenare una falsa e-mail di emergenza che induce l’utente ad accedere a siti web mirati. L’estensione Chrome maligna può quindi monitorare le comunicazioni con i siti presi di mira, in genere siti di criptovalute.

Un sito di malware su invito

Genesis Market esisteva già dal 2018 ed era un sito su invito che richiedeva l’invio di referral da parte dei membri attuali. Sfruttava il principio secondo cui, per un attacco efficace resistente all’MFA (autenticazione multifattoriale), l’aggressore deve sfruttare lo stato di fiducia della vittima accedendo sia alle sue credenziali, sia al fingerprinting del browser.

Oltre ai bot infetti, Genesis Market ha anche pubblicizzato e venduto un browser e un plugin personalizzato chiamato Genesium su diversi forum underground, rendendo più facile per gli hacker effettuare gli attacchi. Gli hacker già in possesso dei bot Genesis possono continuare gli attacchi finché le vittime non aggiornano i cookie e non cambiano le credenziali compromesse. I bot Genesis hanno collegamenti in tempo reale che aggiornano le password quando le vittime le cambiano. Dopo l’eliminazione dell’infrastruttura Genesis, la cancellazione della cache e dei cookie del browser o il ripristino del computer infetto alle condizioni di fabbrica possono invalidare l’infezione.

Le vittime sono ancora vulnerabili

“Le vittime sono ancora vulnerabili se non hanno seguito i passaggi di rimedio. Raccomandiamo di verificare se si trovano all’interno dei database di Genesis attraverso il portale della Polizia olandese, che fornisce anche consigli sui rimedi che Trellix ha contribuito a formulare”, ha dichiarato Fokker. Inoltre, le organizzazioni dovrebbero implementare l’MFA e limitare fortemente il tempo in cui i cookie del browser possono essere utilizzati prima di scadere, ha aggiunto Fokker.

L’uso di programmi antivirus, l’aggiornamento regolare del software, l’evitare link, pop-up e finestre di dialogo sospetti e l’utilizzo di password uniche sono stati consigliati dalle forze dell’ordine come metodi efficaci per prevenire i furti di accesso. Trellix ha fornito un elenco dettagliato di misure correttive nella sua analisi dei bot Genesis.