Η μικρή αλλαγή στο πρόγραμμα περιήγησης Google Chrome 80 είχε καταστροφικές συνέπειες σε ένα από τα κορυφαία καταστήματα για αγορές για εγκλήματα στον κυβερνοχώρο.
Σύμφωνα με νέα έρευνα που κοινοποιήθηκε με την ZDNet αυτήν την εβδομάδα από την εταιρεία KELA, το Genesis Store περνάει μια δύσκολη φάση αυτή την στιγμή την περίοδο, παρατηρώντας μείωση 35% του αριθμού των χακαρισμένων credentials που πωλούνται στο site.
Η KELA λέει ότι οι διαχειριστές της Genesis προσπαθούν επί του παρόντος να διορθώσουν τα ελλείμματα αποθεμάτων τους και να τροφοδοτήσουν το κατάστημα με νέα credentials προτού οι πελάτες διαπιστώσουν την πτώση στην προσφορά.
Θα μπορούσαμε να πούμε ότι αν δεν αντιμετωπιστούν τα προβλήματα που προκαλούνται από τη νέα ενημερωμένη έκδοση του Chrome 80, το μέλλον του καταστήματος δεν φαίνεται ιδιαίτερα ευοίωνο.
Τι είναι το Genesis?
Το Genesis Store είναι μια μοναδική οντότητα και πρωτοπόρος στο τοπίο του εγκλήματος στον κυβερνοχώρο.
Λανσαρίστηκε το Νοέμβριο του 2018 και πωλεί κλεμμένα browser credentials. Ωστόσο, σε αντίθεση με τους περισσότερους ανταγωνιστές της, το website δεν πωλεί μόνο πρόσβαση σε κλεμμένο όνομα χρήστη και κωδικό πρόσβασης. Αντ ‘αυτού, ο ιστότοπος πωλεί κάτι που αποκαλεί “fingerprints”.
Αυτά τα fingerprints είναι μια εικονική εικόνα της ταυτότητας ενός χρήστη σε ένα online website.
Τα fingerprints περιλαμβάνουν βασικές λεπτομέρειες σχετικά με το λογαριασμό ενός χρήστη, όπως όνομα χρήστη και κωδικό πρόσβασης, αλλά και πιο λεπτομερείς πληροφορίες, όπως παλιές διευθύνσεις IP που έχει χρησιμοποιήσει ο χρήστης, cookies του προγράμματος περιήγησης, συμβολοσειρές χρηστών και άλλες τεχνικές λεπτομέρειες του λειτουργικού συστήματος.
Οι πελάτες του Genesis μπορούν να αγοράσουν από fingerprints του Facebook και άλλους λογαριασμούς κοινωνικών μέσων μέχρι και fingerprints από τις μεγαλύτερες εταιρείες του κόσμου.
Αφού αγοράσουν ένα fingerprint από το Genesis Store, στους πελάτες παρέχεται μια επέκταση του Chrome που μπορούν να χρησιμοποιήσουν για να εφαρμόσουν το κλεμμένο “fingerprint” στον browser τους και να μιμηθούν πλήρως και εντελώς τον χρήστη.
Επειδή αυτά τα fingerprints είναι εξαιρετικά λεπτομερή και περιλαμβάνουν επιπλέον πληροφορίες εκτός του ονόματος χρήστη και των κωδικών πρόσβασης, οι hackers μπορούν συχνά να έχουν πρόσβαση και σε λογαριασμούς που προστατεύονται από ορισμένες μορφές ταυτοποίησης όπως το 2FA.
Η δυνατότητα παράκαμψης του 2FA έχει κάνει το Genesis ένα από τα πιο δημοφιλή καταστήματα για εγκλήματα στον κυβερνοχώρο.
Το Genesis εξελίχθηκε από ένα μικρό κατάστημα στο να πουλάει 60,000 fingerprints τον Μάρτιο του 2019.
Επί του παρόντος, το κατάστημα διαδραματίζει σημαντικό ρόλο σε πολλές εγκληματικές ενέργειες στον κυβερνοχώρο, αφού πολλές ομάδες hackers αγοράζουν συχνά κλεμμένα fingerprints από το Genesis για να πραγματοποιήσουν τις ενέργειες τους.
Πολλά από τα fingerprints της Genesis προέρχονται από Azorult injections
Οι εσωτερικές λειτουργίες του website παρέμειναν ένα μυστήριο από τότε που οι εμπειρογνώμονες της Kaspersky εξέθεσαν για πρώτη φορά την ύπαρξή του το Μάρτιο του 2019.
Τους τελευταίους μήνες, ο διευθυντής προϊόντων της KELA, Raveed Laeb, κατέβαλε σημαντικές προσπάθειες στη μελέτη του Genesis Store πέρα από την αρχική έκθεση της Kaspersky, προκειμένου να καταλάβει πώς λειτουργεί το website.
Ένας από τους τρόπους έρευνας που έλεγξε ο Laeb ήταν η πηγή όλων των κλεμμένων fingerprints. Ενώ ορισμένοι ερευνητές υποστήριξαν ότι τα fingerprints του ιστότοπου συλλέχθηκαν μέσω malware εγκατεστημένου σε μολυσμένα workstations, δεν γνώριζαν ποιο malware ήταν υπεύθυνο για όλα τα δεδομένα που πωλούνται στον ιστότοπο.
Για να το καταλάβουμε, ο Laeb δήλωσε ότι έκανε scraping σε ολόκληρο το Store Genesis για όλα τα κλεμμένα fingerprints και στη συνέχεια προχώρησε στην κατάταξη κάθε καταχώρησης βάσει του GUID (γενικού αναγνωριστικού χρήστη) που αναγράφεται δίπλα σε κάθε fingerprint.
Ο Laeb αναφέρει ότι ανακάλυψε ότι το 90% όλων των κλεμμένων fingerprints που πωλούνται στο Genesis ήταν της μορφής 8-8-8-8-8 (οκτώ αλφαριθμητικούς χαρακτήρες σε πέντε διαδοχικά block), υποδηλώνοντας ότι προέρχονταν από ένα ενιαίο στέλεχος malware.
Μετά από περαιτέρω έρευνα, ο Laeb δήλωσε ότι κατάφερε να παρακολουθήσει αυτόν τον οδηγό GUID στη μορφή που έχει δοθεί στα θύματα που έχουν μολυνθεί από το AZORult malware, κάτι που έχει νόημα, αφού το AZORult ήταν ένα από τα πιο ενεργά και διαδεδομένα στελέχη malware που χρησιμοποιήθηκαν το 2019 και θα ήταν ικανό να τροφοδοτήσει το Genesis Store.
Ενώ ο Laeb υποπτεύεται ότι υπάρχουν πολλαπλές συμμορίες malware που λειτουργούν ξεχωριστά botnets malware AZORult και στη συνέχεια παρέχουν τα κλεμμένα fingerprints στους διαχειριστές του Genesis, είναι αρκετά σαφές σε έναν εξωτερικό παρατηρητή ότι το AZORult είναι το πρωταρχικό αδύναμο σημείο του Genesis.
Για παράδειγμα, αν συμβεί κάτι στο malware AZORult, ολόκληρο το κατάστημα Genesis θα τεθεί σε κίνδυνο, με σχεδόν καμία εναλλακτική λύση για τους διαχειριστές του Genesis.
Το 8o Chrome update «καταστρέφει» το Genesis
Και αυτό ακριβώς συνέβη στις αρχές Φεβρουαρίου του 2020, όταν η Google κυκλοφόρησε το Chrome 80.
Με το Chrome 80, η Google άλλαξε χρησιμοποιώντας τον αλγόριθμο AES-256 για να κάνει hash τα passwords που έχουν αποθηκευτεί τοπικά στην εσωτερική βάση δεδομένων SQLite του Chrome.
Αυτή η εναλλαγή στο AES-256 έχει ως αποτέλεσμα οι κωδικοί πρόσβασης που έχουν αποθηκευτεί στο Chrome να έχουν διαφορετική μορφή από ό, τι πριν. Αν και είναι μικροσκοπική η αλλαγή μέσα στον κώδικα του Chrome, αυτή η μικρή αλλαγή έχει παραλύσει την ικανότητα του AZORult να εξάγει κωδικούς πρόσβασης από τον Chrome.
Αυτή η ενημέρωση του Chrome είχε άμεσο και τεράστιο αντίκτυπο στις λειτουργίες του Genesis.
Ενώ το περασμένο έτος το Genesis είχε μια σταθερή εισροή 18.000 νέων κλεμμένων fingerprints που προστέθηκαν στο site σε καθημερινή βάση, ο αριθμός αυτός έχει μειωθεί τώρα στις 30 φορές κάτω, με περίπου 600 νέες συμμετοχές.
Χωρίς σταθερή εισαγωγή νέων fingerprints, η βάση δεδομένων του καταστήματος έχει επίσης αρχίσει να συρρικνώνεται σε μέγεθος, πηγαίνοντας από τα 335.000 κλεμμένα credentials σε περίπου 200.000 – 230.000.
Ο Laeb είπε ότι τα πράγματα δεν φαίνονται καλά για το website, εκτός εάν κάνουν πλήρη εναλλαγή σε άλλο στέλεχος malware και κάνουν αντικατάσταση του AZORult.
Ωστόσο, ενώ το Chrome 80 σκότωσε το AZORult, άλλα στελέχη malware δεν είχαν κανένα πρόβλημα στην ενημέρωση των κωδικών τους, καθώς κυκλοφόρησε μια ενημέρωση του Raccoon Stealer λίγες ημέρες μετά την κυκλοφορία του Chrome 80.
Ο Laeb ανέφερε ότι τις τελευταίες μέρες οι διαχειριστές του Genesis φαίνεται να έχουν σταματήσει να προσθέτουν νέα δακτυλικά αποτυπώματα AZORult συνολικά και τώρα προσθέτουν συνεχώς νέα fingerprints που έχουν κλαπεί με τη βοήθεια ενός μικροσκοπικού στελέχους που δεν έχει ακόμη καθοριστεί.
Ωστόσο, οι νέες καταχωρήσεις δεν είναι ακόμη στα επίπεδα που παρατηρήθηκαν πέρυσι και το πρόβλημα του Genesis Store παραμένει ένα ζήτημα.
