O "Russian Market", um mercado de cibercrime, emergiu como uma das plataformas mais populares para compra e venda de credenciais roubadas por malware de roubo de informações.
Embora o mercado esteja ativo há aproximadamente seis anos e tenha se tornado relativamente popular até 2022, a ReliaQuest relata que o Russian Market recentemente atingiu novos patamares.
Parte dessa onda de popularidade se deve ao fechamento do Genesis Market, que criou um grande vácuo no campo.
Embora a maioria (85%) das credenciais vendidas no Russian Market sejam "recicladas" de fontes existentes, ele ainda conquistou uma grande audiência no cibercrime graças à sua ampla seleção de itens à venda e disponibilidade de logs a preços tão baixos quanto US$ 2.
Um log de infostealer geralmente é um arquivo de texto, ou múltiplos arquivos, criados por malware de roubo de informações que contém as senhas das contas, cookies de sessão, dados de cartão de crédito, dados de carteira de criptomoeda e dados de perfilamento do sistema roubados de um dispositivo infectado.
Cada log pode conter dezenas ou até milhares de credenciais, então o número total de credenciais roubadas pode ser de centenas de milhões ou mais.
Uma vez coletados, os logs são enviados de volta para um servidor do atacante, onde são coletados para uso em atividades maliciosas adicionais ou vendidos em mercados como o Russian Market.
Infostealers tornaram-se uma ferramenta imensamente popular para agentes de ameaças, com muitas campanhas agora visando empresas para roubar cookies de sessão e credenciais corporativas.
A ReliaQuest afirma que isso é refletido no Russian Market, com 61% dos logs roubados contendo credenciais SaaS de plataformas como Google Workspace, Zoom e Salesforce.
Além disso, 77% dos logs incluíam credenciais SSO (Single Sign-On).
"Contas em nuvem comprometidas oferecem aos atacantes acesso a sistemas críticos e apresentam a oportunidade perfeita para roubar dados sensíveis," explicam os pesquisadores.
A ReliaQuest analisou mais de 1,6 milhão de postagens no Russian Market para traçar o aumento e a queda na popularidade de malware específico de roubo de informações.
Até recentemente, a maioria dos logs era roubada pelo Lumma stealer, que representa 92% de todos os logs de credenciais vendidos no Russian Market.
Lumma dominou o mercado após o colapso do Raccoon Stealer, seguindo a ação da aplicação da lei.
No entanto, o mesmo destino pode estar se desenrolando para o Lumma, já que suas operações foram recentemente interrompidas por uma operação global de aplicação da lei, onde 2.300 domínios foram apreendidos.
Os resultados de longo prazo desta operação permanecem incertos, e a Check Point relatou que os desenvolvedores do Lumma estão atualmente tentando reconstruir e reiniciar suas operações de cibercrime.
Enquanto isso, a ReliaQuest relata a súbita ascensão de um novo infostealer chamado Acreed, que está rapidamente ganhando tração após o fechamento do Lumma.
A rápida ascensão do Acreed no Russian Market é refletida nos mais de 4.000 logs carregados em sua primeira semana de operações, segundo a Webz.
O Acreed não é diferente de um infostealer típico em relação às informações que visa, que inclui dados armazenados no Chrome, Firefox e seus diversos derivados, incluindo senhas, cookies, carteiras de criptomoedas e detalhes de cartões de crédito.
Infostealers estão infectando usuários via e-mails de phishing, ataques "ClickFix", malvertising para software premium e vídeos no YouTube ou TikTok.
Portanto, a vigilância e boas práticas de download de software são recomendadas para evitar esse risco generalizado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...