Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Las fuerzas de seguridad desmantelan el mercado de hackers Génesis
17 de abril de 2023 - Equipo de RRPP de TuxCare
Genesis, un infame mercado de hackers, fue desmantelado por una operación policial multinacional en 17 países. Se descubrió que el mercado vendía acceso a millones de ordenadores de víctimas obtenidas por el infostealer DanaBot y otros programas maliciosos.
Trellix, una empresa de ciberseguridad que participó en el desmantelamiento, descubrió que el software espía de Genesis ofrecía acceso a huellas dactilares del navegador, cookies, datos de formularios de autorrelleno y otras credenciales.
"La desarticulación de Genesis Market es otro éxito más que demuestra que las asociaciones público-privadas son fundamentales en la lucha contra la ciberdelincuencia", afirma John Fokker, responsable de inteligencia sobre amenazas del Centro de Investigación Avanzada Trellix de Ámsterdam. Llevamos muchos años siguiendo el mercado y estamos encantados de haber participado en la desaparición de este renombrado mercado."
Aunque las fuerzas de seguridad informaron de que 1,5 millones de bots con malware se habían conectado al mercado, Trellix sólo pudo rastrear 450.000 de ellos, ya que sólo tenían acceso a los datos publicitarios y no a toda la base de datos histórica. Trellix descubrió que los bots investigados tenían conexiones en tiempo real con las estaciones de trabajo de las víctimas y eran producto de infecciones diseñadas deliberadamente por etapas.
Según un documento de Europol, el precio por bot en el sitio oscilaba entre 0,70 y varios cientos de dólares, dependiendo del volumen y el tipo de datos robados.
La operación mundial fue dirigida por el FBI y la Policía Nacional de los Países Bajos, con un puesto de mando establecido en la sede de Europol en La Haya (Países Bajos). Como resultado de la misma se produjeron 119 detenciones, 208 registros de propiedades y 97 medidas de "toque de queda". En la investigación, denominada "Operación Monstruo de las Galletas", participaron 45 oficinas de campo del FBI, según el Departamento de Justicia estadounidense.
Basándose en una marca de tiempo forense proporcionada por las fuerzas de seguridad, Trellix identificó un archivo "setup.exe" como el vector de infección original. Se trataba de un archivo ejecutable de varias etapas cuyo tamaño se había inflado (99,3%) hasta 440 MB mediante relleno nulo, un método destinado a eludir las cajas de arena de ciberseguridad. Se descubrió que era un Inno Setup legítimo, un archivo de instalación de software inofensivo explotado por Genesis para introducir código malicioso.
En segundo lugar, el ejecutable colocaba un archivo de biblioteca de vínculos dinámicos (DLL), "yvibiajwi.dll", en la carpeta temporal del ordenador objetivo, que se encuentra en%temp%. Para escapar a la detección, la DLL ejecuta rutinas que descifran un búfer de 150 MB al final del binario del script malicioso, lo que da como resultado un archivo ejecutable portátil (PE) dirigido al "explorer.exe" del usuario, un proceso de inicio de Windows.
La tercera etapa del asalto consiste en utilizar la máquina comprometida para conectarse al servidor de mando y control (C&C) del atacante y descargar otro malware que, según Trellix, se parecía a la familia DanaBot.
Las fuentes de este artículo incluyen un artículo en CSOOnline.
