Genesis-Hackermarktplatz von den Strafverfolgungsbehörden abgeschaltet
Genesis, ein berüchtigter Hacker-Marktplatz, wurde durch eine multinationale Strafverfolgungsaktion in 17 Ländern zu Fall gebracht. Es wurde aufgedeckt, dass der Marktplatz Zugang zu Millionen von Opfer-PCs verkaufte, die durch den DanaBot-Infostealer und andere Malware erlangt wurden.
Trellix, ein Cybersicherheitsunternehmen, das an der Aktion beteiligt war, entdeckte, dass die Spyware von Genesis Zugriff auf Browser-Fingerabdrücke, Cookies, Daten zum automatischen Ausfüllen von Formularen und andere Anmeldedaten bot.
"Die Zerschlagung von Genesis Market ist ein weiterer erfolgreicher Fall, der beweist, dass öffentlich-private Partnerschaften bei der Bekämpfung der Cyberkriminalität von entscheidender Bedeutung sind", sagt John Fokker, Leiter der Abteilung für Bedrohungsanalysen am Trellix Advanced Research Center in Amsterdam. Wir verfolgen den Markt seit vielen Jahren und freuen uns, dass wir zum Niedergang dieses renommierten Marktes beigetragen haben."
Obwohl die Strafverfolgungsbehörden berichteten, dass 1,5 Millionen Malware-Bots mit dem Marktplatz verbunden waren, konnte Trellix nur 450.000 von ihnen aufspüren, da sie nur Zugriff auf die Werbedaten und nicht auf die gesamte historische Datenbank hatten. Trellix fand heraus, dass die untersuchten Bots Echtzeit-Verbindungen zu den Arbeitsplätzen der Opfer hatten und das Produkt von Infektionen waren, die absichtlich schrittweise entwickelt wurden.
Einem Europol-Dokument zufolge lag der Preis pro Bot auf der Website zwischen 0,70 und mehreren hundert Dollar, je nach Umfang und Art der gestohlenen Daten.
Die weltweite Operation wurde vom FBI und der niederländischen Nationalpolizei geleitet, wobei eine Befehlsstelle am Hauptsitz von Europol in Den Haag eingerichtet wurde. Sie führte zu 119 Verhaftungen, 208 Hausdurchsuchungen und 97 "Knock-and-Talk"-Maßnahmen. An der "Operation Cookie Monster" genannten Untersuchung waren nach Angaben des US-Justizministeriums 45 FBI-Außenstellen beteiligt.
Auf der Grundlage eines forensischen Zeitstempels der Strafverfolgungsbehörden identifizierte Trellix eine "setup.exe"-Datei als den ursprünglichen Infektionsvektor. Dabei handelte es sich um eine mehrstufige ausführbare Datei, deren Größe durch Null-Padding (99,3 %) auf 440 MB aufgebläht wurde, eine Methode zur Umgehung von Cybersicherheitssandboxen. Es stellte sich heraus, dass es sich um ein legitimes Inno Setup handelte, eine harmlose Software-Installationsdatei, die von Genesis ausgenutzt wurde, um bösartigen Code einzuschleusen.
Zweitens legt die ausführbare Datei eine DLL-Datei (Dynamic Link Library), "yvibiajwi.dll", im temporären Ordner des Zielcomputers ab, der sich unter%temp% befindet. Um der Entdeckung zu entgehen, führt die DLL Routinen aus, die einen 150 MB großen Puffer am Ende der bösartigen Skript-Binärdatei entschlüsseln, was zu einer portablen ausführbaren Datei (PE) führt, die auf den Windows-Startprozess "explorer.exe" des Benutzers abzielt.
Die dritte Stufe des Angriffs besteht darin, den kompromittierten Rechner zu nutzen, um sich mit dem Command-and-Control-Server (C&C) des Angreifers zu verbinden und eine weitere Malware herunterzuladen, die laut Trellix der DanaBot-Familie ähnelt.
Zu den Quellen für diesen Beitrag gehört ein Artikel in CSOOnline.