MENU

06/04/2023 às 09h04min - Atualizada em 08/04/2023 às 00h01min

Genesis Market não alimenta mais o malvado Cookie Monster

Antes do esforço de remoção global, a Trellix e a Computest foram abordadas por várias agências pedindo assistência com a análise e detecção dos binários maliciosos vinculados ao Genesis Market

SALA DA NOTÍCIA Trellix
https://www.trellix.com/en-us/about/newsroom/stories/research/genesis-market-no-longer-feeds-the-evil-cookie-monster.html
Divulgação


Nos dias 4 e 5 de abril, uma força-tarefa, que incluiu agências de inteligência e segurança cibernética de 17 países, desmantelou o mercado de cookies de navegador conhecido como Genesis Market e abordou centenas de seus usuários. Com base nas informações coletadas, foram realizadas buscas domiciliares e os usuários foram presos ou abordados para uma conversa.
Esta ação global pretende acabar com o maior mercado de seu tipo. Já o endereço web do Genesis Market exibe a familiar tela inicial de remoção. Antes do esforço de remoção global, a Trellix e a Computest foram abordadas por várias agências pedindo assistência com a análise e detecção dos binários maliciosos vinculados ao Genesis Market. O objetivo principal era inutilizar os scripts e binários do mercado.
“A interrupção do Genesis Market é mais uma ação bem-sucedida, mostrando que os criminosos não estão seguros enquanto perturbam a vida de indivíduos e corporações em escala global. A Trellix e nosso Centro de Pesquisa Avançada têm orgulho de contribuir para esta operação internacional. Nosso objetivo é informar o público em geral para garantir a segurança (digital) de todos, não apenas a segurança de nossos clientes”, disseram John Fokker, Ernesto Fernández Provecho e Max Kersten, os pesquisadores do Centro de Pesquisa Avançada da Trellix (ARC – Advanced Research Center).

Informações sobre a ação, análise e boas práticas
Mercado Genesis
O Genesis Market existe desde 2018 e é o maior mercado clandestino que vende credenciais, impressões digitais do navegador e cookies do navegador. Sob o apelido de GenesisStore, a equipe do Genesis anunciou em vários fóruns clandestinos (predominantemente de língua russa).
Como o Genesis Market era usado?
Um cibercriminoso pode falsificar com sucesso a identidade da vítima carregando as impressões digitais e os cookies do navegador comprados em seu próprio navegador ou no navegador especial criado pelo mercado Genesis chamado Genesium. Os detalhes roubados eram usados em combinação com um serviço VPN ou usando a máquina da vítima como um proxy. Isso permitia que o criminoso assumisse a identidade da vítima e, portanto, agisse como se fosse a vítima. Os serviços geralmente usam cookies e impressões digitais para identificação contínua, mesmo após uma autenticação MFA inicial. Os cibercriminosos exploram o status confiável dos detalhes roubados.
A vida útil de um cookie determina por quanto tempo ele é válido. Depois de expirado, o cookie é invalidado e o serviço exigirá que o usuário faça login novamente. A segurança depende de três fatores: uma senha, impressão digital do navegador e alguém a quem os dois fatores anteriores pertencem. Enquanto os dois primeiros podem ser roubados, o último está vinculado a uma pessoa. A ideia é que a senha seja conhecida apenas pelo dono da conta, que faz login pelo navegador com uma impressão digital específica. Enquanto o cookie (gerado ao fazer login com a senha correta) e a impressão digital são verificados, isso normalmente é feito pela pessoa que usa a conta. Ao lidar com cookies e impressões digitais roubados, um ator pode reutilizar a sessão e representar a vítima.
Embora os mercados clandestinos que vendem credenciais roubadas não sejam novidade, o Genesis Market foi um dos primeiros a se concentrar em impressões digitais e cookies de navegador para permitir a aquisição de contas.
Navegador e plug-in do Genesium
O Genesis Market também oferecia a seus usuários um navegador especializado exclusivo e plug-in, chamado Genesium, que permitia uma injeção fácil dos artefatos roubados, tornando a invasão de contas uma brincadeira de criança para os cibercriminosos. O mercado era um local apenas para convidados, que exigia o encaminhamento de um membro atual para se registrar. É interessante notar que a maioria das mensagens que o Centro de Pesquisa Avançada da Trellix encontrou mencionando o Genesis Market eram de indivíduos pedindo uma referência, muitas vezes dispostos a pagar por essa referência. Quando examinamos o mercado, observamos mais de 450 mil bots listados (ou máquinas infectadas) e as autoridades policiais relatam mais de 1,5 milhão de bots no total.
Durante a pesquisa, foi encontrado o navegador Genesium e o plug-in no VirusTotal, carregados por uma ou mais entidades desconhecidas. Isso mostra que as ferramentas foram usadas em estado selvagem, o que dá aos pesquisadores acesso aos arquivos para criar regras de detecção. No entanto, dada a singularidade do navegador e como ele foi projetado para facilitar o cibercrime, não é recomendado o uso do navegador e do plug-in.
Análise
Ao longo dos anos, o Genesis Market trabalhou com uma grande variedade de famílias de malware para infectar as vítimas, onde seus scripts de roubo de informações foram usados para roubar informações, que foram usadas para preencher a loja do Genesis Market. As famílias de malware ligadas ao Genesis Market pertençam aos suspeitos habituais de ladrões de informações comuns, como AZORult, Raccoon, Redline e DanaBot. Em fevereiro de 2023, o Genesis Market começou a recrutar vendedores ativamente.
Malware vinculado ao Genesis Market
A Trellix recebeu um conjunto de binários e scripts maliciosos que foram vinculados ao Genesis Market para analisar melhor os arquivos e garantir a cobertura de detecção em nosso portfólio de produtos. Conforme explicado no parágrafo anterior, o Genesis Market aproveitou uma grande variedade de diferentes famílias de malware.
Conselho de correção
Abaixo, veja como se proteger melhor caso sua empresa seja impactada:
• Atualize seu antivírus, execute uma verificação completa do sistema e remova qualquer malware.
• Altere todas as suas senhas para serviços on-line.
• Se possível, restaure completamente o computador para o padrão de fábrica, mantendo os dados pessoais intactos. Caso contrário, limpe o cache e os cookies do navegador.
• Habilite MFA forte (com base em App, OTP, Token OTP, FIDO ou PKI) em seus serviços on-line, conforme descrito abaixo.
• Não armazene nenhuma senha, detalhes de cartão de crédito ou outras informações pessoais no navegador.
• Não instale software crackeado ou pirateado.
• Sempre verifique se o site do qual você está baixando o software é o site original do fornecedor do software.
Práticas recomendadas para organizações e administradores
Para organizações, as melhores práticas abaixo devem ser seguidas para prevenção e gerenciamento de identidade e acesso. Observe que algumas orientações são específicas da Trellix.
• Treine os usuários em phishing e como identificar phishing – repita o treinamento com e-mails de phishing de teste para todos os usuários – os usuários devem estar alertas quando se trata de links e anexos.
o   Tenha muito cuidado com arquivos protegidos por senha, pois eles passarão pela maioria das verificações de e-mail e proxies da web.
o   Verifique as extensões de arquivo: um JPG, PDF ou documento pode não ser o que parece com base no ícone! Pode ser um executável que se disfarça com seu ícone.
• Implemente o controle da Web e bloqueie o acesso a quaisquer sites desconhecidos/sem categoria.
• Bloquear ou relatar qualquer aplicativo desconhecido de comunicação para/da Internet - pode ser feito por soluções de firewall (Trellix Endpoint Security (ENS)
• Implemente a Proteção Adaptativa contra Ameaças (ATP) e configure a Contenção Dinâmica de Aplicativos (DAC) para processos desconhecidos, limitando o que eles podem fazer.
• Ative a prevenção de exploração e ative a assinatura para “Execução de extensão de arquivo duplo suspeito” (assinatura 413).
• Proteja os cookies de sessão com a regra Exploit Prevention Expert.
• Implementar regras de Especialista que serão acionadas em qualquer PowerShell ou processo desconhecido/contido acessando seu cookie de sessão?
• Implementar detecção e resposta de endpoint (Trellix EDR). Ele pode detectar algumas das técnicas identificadas, como uso malicioso de protocolos da web, injeção de processos e transferências de ferramentas.
• Implemente uma varredura de e-mail forte e profunda.
• Implemente um gateway de web forte e profundo e bloqueie sites não categorizados e tenha um procedimento rápido e confiável para adicionar mais sites, se necessário.
• Aplique as práticas recomendadas de gerenciamento de identidade e acesso (IAM) conforme descritas pela CISA.
• Revise sua visibilidade atual e capacidade de detecção de roubo de credenciais e abuso de privilégios. Trellix XDR pode coletar logs de vários sistemas IAM e EDR e fornece correlação para detectar potencial uso indevido e escalação.
 
Link
Notícias Relacionadas »
Comentários »
Comentar

*Ao utilizar o sistema de comentários você está de acordo com a POLÍTICA DE PRIVACIDADE do site https://gazetacentrooeste.com.br/.
Fale pelo Whatsapp
Atendimento
Precisa de ajuda? fale conosco pelo Whatsapp