Support technique
Documentation
Connexion
Nous contacter
La place de marché Genesis pour les pirates informatiques fermée par les forces de l'ordre
Le 17 avril 2023 - L'équipe de relations publiques de TuxCare
Genesis, un marché de pirates informatiques tristement célèbre, a été mis hors d'état de nuire par une opération multinationale d'application de la loi menée dans 17 pays. Il a été découvert que la place de marché vendait l'accès à des millions de PC de victimes obtenus par le voleur d'informations DanaBot et d'autres logiciels malveillants.
Trellix, une société de cybersécurité qui a participé au démantèlement, a découvert que le logiciel espion de Genesis permettait d'accéder aux empreintes digitales du navigateur, aux cookies, aux données des formulaires remplis automatiquement et à d'autres informations d'identification.
"La perturbation de Genesis Market est une autre réussite qui prouve que les partenariats public-privé sont essentiels dans la lutte contre la cybercriminalité", déclare John Fokker, responsable du renseignement sur les menaces au Trellix Advanced Research Center d'Amsterdam. Nous suivons le marché depuis de nombreuses années et nous sommes ravis d'avoir joué un rôle dans la disparition de ce marché renommé."
Bien que les forces de l'ordre aient indiqué que 1,5 million de robots malveillants avaient été connectés à la place de marché, Trellix n'a pu suivre que 450 000 d'entre eux, car il n'avait accès qu'aux données publicitaires et non à l'ensemble de la base de données historique. Trellix a découvert que les bots étudiés avaient des connexions en temps réel avec les postes de travail des victimes et qu'ils étaient le produit d'infections délibérément conçues par étapes.
Selon un document d'Europol, le prix d'un bot sur le site allait de 0,70 $ à plusieurs centaines de dollars, en fonction du volume et de la nature des données volées.
L'opération mondiale a été dirigée par le FBI et la police nationale néerlandaise, avec un poste de commandement établi au siège d'Europol à La Haye, aux Pays-Bas. Elle a donné lieu à 119 arrestations, 208 perquisitions et 97 mesures de "knock-and-talk". L'enquête, appelée "Operation Cookie Monster", a impliqué 45 bureaux locaux du FBI, selon le ministère américain de la justice.
Sur la base d'un horodatage fourni par les forces de l'ordre, Trellix a identifié un fichier "setup.exe" comme étant le vecteur d'infection original. Il s'agit d'un fichier exécutable en plusieurs étapes dont la taille a été gonflée (99,3 %) à 440 Mo par le biais d'un remplissage nul, une méthode destinée à contourner les bacs à sable de cybersécurité. Il a été découvert qu'il s'agissait d'un Inno Setup légitime, un fichier d'installation de logiciel inoffensif exploité par Genesis pour introduire un code malveillant.
Ensuite, l'exécutable place un fichier de bibliothèque de liens dynamiques (DLL), "yvibiajwi.dll", dans le dossier temporaire de l'ordinateur cible, qui se trouve à%temp%. Pour échapper à la détection, la DLL exécute des routines qui décryptent une mémoire tampon de 150 Mo à la fin du script binaire malveillant, ce qui donne un fichier exécutable portable (PE) destiné à "explorer.exe" de l'utilisateur, un processus de lancement de Windows.
La troisième étape de l'attaque consiste à utiliser la machine compromise pour se connecter au serveur de commande et de contrôle (C&C) de l'attaquant et télécharger un autre logiciel malveillant qui, selon Trellix, ressemble à la famille DanaBot.
Les sources de cet article comprennent un article paru dans CSOOnline.
