Por John Fokker, Ernesto Fernández Provecho y Max Kersten
Con agradecimientos para Steen Pedersen y Mo Cashman por sus consejos de remediación.
Los pasados 4 y 5 de abril, una fuerza para el cumplimiento de la ley que abarcó agencias en 17 países, incluyendo el FBI, Europol y la Policía Holandesa, con la “Operación Cookie Monster” disrumpieron el famoso navegador “cookie market” conocido como Genesis Market, y se acercaron a cientos de sus usuarios. Basados en la información reunida, se realizarán cateos en casas y los usuarios serán arrestados o se tendrá una conversación seria con ellos.
Esta acción global se realizó para detener al más grande mercado en su tipo, por lo que la dirección de Genesis Market en internet despliega la conocida pantalla de inicio de eliminación, como ha sido en casos anteriores.
Previo al esfuerzo global para cerrar el sitio, Trellix y Computest fueron contactados por los grupos para el cumplimiento de la ley pidiendo asistencia con el análisis y detección de los binarios maliciosos ligados a Genesis Market. La meta principal era inutilizar los scripts y binarios del sitio. En este blog explicaremos la función y operaciones del Genesis Market, ofreciendo un análisis de ejemplos del malware que las autoridades compartieron con Trellix y ofrecen consejos y guía a víctimas potenciales.
Genesis Market
Este sitio ha estado funcionando desde 2018 y es el mercado clandestino más grande que vende credenciales, planos y cookies de exploradores. Bajo el apodo de GenesisStore, el equipo de Genesis anunciaba varios foros clandestinos, principalmente en ruso.
Genesis se convirtió rápidamente en una tienda para adquisición de cuentas, ayudando a cibercriminales a cometer fraudes y ofreciendo maneras de sobrepasar el Multi-Factor Authentication (MFA).
¿Cómo se usaba el Genesis Market?
Un cibercriminal podía tomar la identidad de una víctima cargando las huellas y cookies del navegador comprado en su propio navegador o el navegador especial construido por Genesis denominado Genesium. Los detalles robados eran usados en combinación con un servicio de VPN o usando el equipo de la víctima como apoderado, lo que permitía al criminal asumir la identidad de la víctima y, por lo tanto, actuar como si fuera esa persona. Los servicios comúnmente usan cookies y huellas como identificadores continuos, incluso después de una autenticación MFA inicial, por lo que los cibercriminales explotaban el estatus confiable de los detalles robados.
La vida de una cookie determina cuánto tiempo es válida, una vez expirada la cookie se invalida y el servicio requiere al usuario iniciar su sesión de nuevo. La seguridad depende de tres factores: un password, una huella del navegador y algo a lo que pertenecen ambos factores anteriores. Mientras los primeros dos pueden ser robados, el último está vinculado a una persona. La idea es que el password es solo conocido por el propietario de la cuenta que se conecta a través del navegador con una huella específica. Mientras que la cookie (que se genera al conectarse con el password correcto) y la huella son verificados, esto se hace típicamente por la persona cuya cuenta es usada. Cuando se trata con cookies y huellas robadas, el actor puede reusar la sesión y apersonar a la víctima.
Para ilustrar esto con una analogía: piense que quiere ir a ver una nueva película de acción en el cine, pero está restringida para menores de 16 años, usted tiene 12 años y no puede entrar porque revisan las identificaciones. La identificación, junto con sus características físicas, son la cookie y la huella, si quisiera subirse en los hombros de un compañero escondido bajo un abrigo usando una identificación robada podría entrar al lugar porque el cine podría verlo como elegible, basado en la identificación robada (la cookie) y su apariencia (huella).
Mientras que los mercados clandestinos que venden credenciales robadas no son algo nuevo, el Genesis Market era uno de los primeros que se enfocaron en huellas y cookies de navegadores para permitir robar cuentas a pesar de la creciente adopción de MFA.
Navegador y plugin Genesium
Genesis Market también ofrecía a sus usuarios un navegador con plugin único y especializado llamado Genesium, que permitía una inyección fácil de los artículos robados, haciendo que el robo de cuentas fuera juego de niños para los cibercriminales. El mercado era un lugar de solo con invitación que requería una referencia de un miembro registrado. Es interesante notar que la mayoría de los mensajes que el Centro de Investigación Avanzada de Trellix encontró mencionando el Genesis Market eran de individuos pidiendo una referencia, listos para pagar por ella. Cuando examinamos el mercado observamos más de 450 mil bots (o máquinas infectadas).
Como se puede ver, Genesis organizaba cuidadosamente las diferentes cuentas y servicios que obtenía de cada víctima, desde servicios de streaming, tiendas en línea y detalles bancarios, hasta inicios de sesión corporativa. Los precios de los bots variaban por país y por número de huellas disponibles. El mercado actualizaba constantemente la lista de bots de numerosos países a lo largo del mundo.
Durante la investigación, encontramos que el navegador Genesium y el plugin en VirusTotal, subidos por una o más entidades desconocidas. Esto muestra que las herramientas fueron usadas en territorio agreste, lo que da a los investigadores acceso a los archivos para crear reglas de detección. Sin embargo, dada la singularidad del navegador y cómo se diseñó para facilitar el cibercrimen, recomendamos ampliamente no utilizar el navegador y el plugin.
Telemetría en archivos maliciosos provistos
Basado en los binarios y scripts maliciosos provistos por las autoridades, reunimos las siguientes detecciones globales
Análisis
A lo largo de los años, el Genesis Market trabajó son una gran variedad de familias de malware para infectar a las víctimas, donde sus scripts de robo de información se utilizaban para robar información que eran usada para hacer popular la tienda de Genesis Market. No es sorpresa que las familias de malware ligadas a Genesis pertenezcan a los sospechosos comunes de robo de información, como AZORult, Racoon, Redline y DanaBot. En febrero de 2023, Genesis inició un reclutamiento activo de vendedores, pensamos con cierta confianza que esto se hacía para mantenerse al ritmo de la demanda de sus usuarios.
Basados en nuestra información y otra provista por las autoridades, parece que Genesis creó y ejecutó su propio conjunto de JavaScript en las máquinas infectadas que les ofrecimos. Este conjunto de scripts de JS estaban diseñados para atrapar toda la información relevante de la máquina de la víctima de una manera estructurada, asegurando la calidad de los datos a lo largo de los bots que ofrecían vía su mercado.
Malware ligado al Genesis Market
Trellix recibió un conjunto de binarios y scripts maliciosos ligados al Genesis Market de parte de las autoridades de aplicación de la ley para analizarlos más y asegurar la cobertura de detección dentro de nuestro portafolio de productos. Como se explicó anteriormente, Genesis Market aprovechó una gran variedad de malware de diferentes familias como vector de acceso inicial, demasiados para analizarlos individualmente. Estas familias pueden categorizarse como mercancía de malware, información más detallada está disponible en los Trellix Insights.
Vector inicial
Basados en las marcas de fecha provistas por las autoridades, el archivo “setup.exe” parece ser el vector de infección inicial, el archivo contiene múltiples etapas, aunque no todo se pudo analizar debido a una locación de descarga inalcanzable. El tamaño del ejecutable se inflaba a 440 Mb de los que el 99.3% es un relleno nulo. La técnica para evitar la ejecución de un sandbox no es nueva pero se ha usado más seguido últimamente en campañas recientes, como Emotet
y Qbot.
Por una vez, el nombre del archivo dado por el actor malicioso era correcto: el archivo es, de hecho, un setup. Más precisamente, es una instancia Inno Setup. El Inno Setup es un software benigno de instalación que ha sido abusado para propósitos maliciosos. Luego de su ejecución, “yvibiajwi.dll” es dejado en la carpeta temporal del usuario actual, localizada en “%temp%”. De manera alternativa se puede usar Innounp (Inno Setup Unpacker) para extraer el contenido del instalador.
En la segunda etapa, el DLL extraído llamado “yvibiajwe.dll” se usa para cargar y ejecutar la tercera etapa. Este archivo contiene un código basura para dificultar los análisis.
Una vez ejecutado el DLL, la función “Niejgosiejhgse” se llama para continuar la cadena de ejecución. Esta función decodifica y desencripta Base64 usando un algoritmo personalizado XOR, los primeros 3808 bytes de un buffer de 150 Mb se pone al final del binario. Sin embargo, para desencriptar con éxito la primera parte del buffer, el código numérico 768376 se debe ingresar para generar la clave de desencriptación válida. Después llega la tercera etapa del malware, un shellcode.
El shellcode desencripta el resto de los 150 Mb del buffer usando otro algoritmo XOR, resultando en un archivo PE que será inyectado usando un proceso de vaciado, especificado al final del shellcode. Si no se le da un nombre de proceso se usa “svchost.exe”.
La cuarta etapa del malware descarga y ejecuta otro binario del comando y control del servidor “don-dns.com”. Sin embargo, como este dominio no estaba disponible al momento del análisis, no se pudieron obtener ejemplos. Pero gracias a otros ejemplos relacionados, pensamos que los ejemplos distribuidos a través del dominio son principalmente malware básico. Basados en la telemetría forense provista por las autoridades, parece ser que el malware instalado en la
máquina de la víctima era un ejemplar de DanaBot, una bien conocida familia de malware con la meta de robar información sensible de los sistemas del usuario para ser vendida posteriormente.
Hay dos tipos de ejemplares encontrados, el instalador inicial y final del DanaBot, pero este malware parecer ser tan solo como punto de apoyo para implementar más ejemplares. En este blog no se ofrece un desglose d ela plataforma DanaBot porque ya se ha analizado públicamente con gran detalle en múltiples blogs . De hecho, continuaremos este análisis en la próxima etapa que presumimos que es la final.
Extensión de Chrome maliciosa y archivos JavaScript asociados
En la etapa final una extensión de Chrome intenta ocultarse como una extensión de Google Drive con una meta simple: robar información del navegador como cookies, historial, información de las tabs y más, en un formato uniforme para los operadores del Genesis Market para usarse automáticamente. La extensión consiste principalmente y de manera interesante en archivos de configuración, incluyen código principal y código de inyección de email, basado en el API expuesto del motor de Chomium. Hay que destacar la existencia potencial de plugins de otros navegadores. Llevar el malware a diferentes navegadores basados en Chromium sería fácil, pero llevarlo a un navegador diferente requiere más trabajo.
La instalación inicial de la extensión malicioso se hace a través de varias etapas de PowerShell. Los atajos de OperaGX, Brave y Chrome en el dispositivo de la víctima se recrean con una línea de comando adicional de interface para cargar la extensión maliciosa. Los archivos de configuración dan información sobre la lista de permisos que requiere el plugin, y que aplicará a todos los URLs que la víctima visite, algunos de los cuales darán acceso a datos sensibles, como cookies, tabs abiertos y el historial del navegador. Además, la aplicación puede editar páginas cargadas y remover los encabezados si se desea, los encabezados relacionados con el mecanismo de la Política de Seguridad de Contenido (CSP) son removidos, lo que permite al malware inyectar el código en cualquier página web. Trellix dio el nombre de CookieGenesis a los archivos de detección en sus productos para identificar fácilmente los archivos.
Consejos de remediación
La fuerza global de aplicación de la ley pide a los consumidores revisar si su información fue obtenido y vendida vía Genesis Market con CheckYourHack, lanzado por la policía holandesa. Si su correo electrónico es parte de conjunto de información, recibirá un correo de seguimiento de la policía con el consejo de remediación.
A continuación, puede ver cómo protegerse de la mejor manera si fue impactado:
• Actualice su antivirus, realice una revisión completa del sistema y quite cualquier malware.
• Cambie todos sus passwords de servicios online.
• SI es posible, restaure su computadora a los valores de fábrica, manteniendo intacta su información personal. Si no es posible elimine todos el cache y cookies del navegador. • Establezca un MFA fuerte basado en App, OTP, Token, FIDO o PKI para sus servicios en línea.
• No almacene ningún password, detalles de tarjetas de crédito u otra información personal en el navegador.
• No instale software pirata o crackeado.
• Siempre asegúrese de que los sitios de donde descarga software sea el sitio original del proveedor.
Las mejores prácticas para las organizaciones y administradores
Para las organizaciones, las siguientes mejores prácticas deben continuarse para prevenir e identificar cualquier gestión de acceso. Nota, alguna orientación es específica de Trellix:
• Entrene a los usuarios en phishing y cómo identificarlo, repita el entrenamiento con emails de prueba con phishing para todos los usuarios, quienes deben estar alerta de los links y adjuntos.
• Sea muy cuidadoso con archivos protegidos con password ya que pueden pasar la mayoría de los escaners de email y proxies de web.
• Revise los archivos con extensiones JPG, PDF o documentos que pudieran no ser lo que parecen basados en el ícono “!”, pueden ser un ejecutable disfrazado con el ícono. • Implemente control de web y bloquee accesos a sitios desconocidos o no categorizados. • Bloquee o reporte cualquier aplicación desconocida de comunicación a y del internet, puede hacerse con las soluciones de firewall (Trellix Endpoint Security (ENS)). • Implemente protección adaptativa de amenazas (ATP) y configure Contención Dinámica de Aplicación (DAC) para procesos desconocidos limitando lo que pueden hacer. • Habilite la Prevención de Explotaciones y la firma para “Ejecución doble de archivos suspechosa” (firma 413).
• Proteja las cookies de sesión con la regla Exploit Prevention Expert.
• Implemente reglas expertas que se disparan con cualquier proceso de PowerShell, desconocido o contenido que accese sus cookies de sesión.
• Implemente el Endpoint Detection and Response (Trellix EDR). Puede detector algunas de las técnicas identificadas como uso malicioso de protocolos de web, proceso de inyección y transferencia de herramientas.
• Implemente escaneo fuerte y profundo de emails.
• Por favor aplique las mejores prácticas de Gestión de Identidad y Acceso (IAM) detalladas por CISA.
Conclusión
La disrupción del Genesis Market es otro derribo exitoso, mostrando que los criminales no están seguros mientras disrumpen la vida de las personas y corporaciones a escala global. Como Trellix y nuestro Centro de Investigación Avanzada, estamos orgullosos de contribuir a esta operación global de cumplimiento de la ley y cumplimos con nuestra parte. Queremos informar al público con este análisis para asegurar la seguridad (digital) de todos, no solo la de nuestros clientes.
Acerca de Trellix Trellix es una empresa global que redefine el futuro de la ciberseguridad y el trabajo apasionado. La plataforma abierta y nativa de detección y respuesta extendida (XDR) de la empresa, ayuda a las organizaciones que se enfrentan a las amenazas más avanzadas de la actualidad a ganar confianza en la protección y resiliencia de sus operaciones. Trellix, junto con un extenso ecosistema de socios, acelera la innovación tecnológica a través del aprendizaje automático y la automatización para empoderar a más de 40,000 clientes empresariales y gubernamentales con seguridad viva. Conozca más en https://trellix.com .
