La actualización de Chrome 80 paraliza el mercado de ciberdelincuencia más importante


Mercado de Génesis

Imagen: ZDNet

Un pequeño cambio en el navegador Google Chrome 80 ha tenido un efecto devastador en uno de los principales mercados de ciberdelincuencia de la actualidad.

Según una nueva investigación compartida con ZDNet Esta semana por la firma de inteligencia de amenazas KELA, la tienda Genesis está pasando por un mal momento, viendo una caída del 35% en el número de credenciales pirateadas vendidas en el sitio.

KELA dice que los administradores de Genesis están luchando para corregir su déficit de inventario y alimentar a la tienda con nuevas credenciales antes de que los clientes noten una caída en las listas nuevas y frescas.

Si no abordan los problemas causados ​​por la nueva actualización de Chrome 80, todo el futuro de la tienda queda en juego.

¿Qué es el génesis?

The Genesis Store es una entidad única y pionera en el panorama de los delitos informáticos.

Lanzado en noviembre de 2018, Genesis Store vende credenciales de navegador robadas. Sin embargo, a diferencia de la mayoría de sus competidores, el sitio no solo vende acceso a un nombre de usuario y contraseña robados. En cambio, el sitio vende las llamadas "huellas digitales".

Estas huellas digitales son una imagen virtual de la identidad de un usuario en un sitio web en línea.

También: Protéjase: cómo elegir la aplicación de autenticación de dos factores correcta

Las huellas digitales incluyen detalles básicos sobre la cuenta de un usuario, como nombre de usuario y contraseña, pero también detalles más detallados, como direcciones IP anteriores que el usuario ha utilizado, cookies del navegador, cadenas de agente de usuario y otros detalles técnicos del sistema operativo.

Los clientes de Genesis pueden comprar desde huellas digitales para Facebook y otras cuentas de redes sociales hasta huellas digitales para intranets en algunas de las compañías más grandes del mundo.

Después de comprar una huella digital en Genesis Store, los clientes de Genesis reciben una extensión de Chrome que pueden usar para aplicar la "huella digital" robada a su navegador y hacerse pasar por un usuario por completo.

Extensión Génesis

Imagen: ZDNet

Debido a que estas huellas digitales son extremadamente detalladas e incluyen información adicional además de un nombre de usuario y contraseñas, los piratas informáticos a menudo pueden acceder incluso a cuentas protegidas por algunas formas de soluciones de autenticación de dos factores (2FA).

La capacidad de evitar 2FA ha convertido a Genesis en uno de los lugares preferidos en el panorama de los delitos informáticos para comprar acceso a cuentas pirateadas.

El aumento de la popularidad del sitio también ha tenido un efecto en su inventario, con Genesis creciendo desde una pequeña tienda que vende acceso a 60,000 huellas digitales en marzo de 2019, a un portal gigantesco que vendía cerca de 335,000 huellas digitales al final del año.

Actualmente, la tienda desempeña un papel importante en muchas operaciones de delitos informáticos, con muchos grupos de piratas informáticos que a menudo compran huellas dactilares robadas de Genesis para alimentar sus juergas de delitos informáticos.

La mayoría de las huellas dactilares de Génesis provienen de infecciones por AZORult

Sin embargo, las operaciones internas del sitio siguen siendo un misterio desde que los expertos de Kaspersky expusieron por primera vez su existencia en marzo de 2019.

En los últimos meses, el gerente de productos de KELA, Raveed Laeb, ha realizado grandes esfuerzos para estudiar la Tienda Genesis más allá del informe inicial de Kaspersky, para comprender cómo funciona el sitio.

Una de las vías de investigación que investigó Laeb fue la fuente de todas las huellas dactilares robadas. Si bien algunos investigadores de seguridad sospecharon que las huellas digitales del sitio se estaban recolectando a través de malware instalado en estaciones de trabajo infectadas, no sabían qué malware era responsable de todos los datos vendidos en el sitio.

Para resolver esto, Laeb le dijo ZDNet en una llamada telefónica esta semana que raspó toda la Tienda Genesis para todas las huellas dactilares robadas y luego procedió a clasificar cada entrada en función del GUID (identificador de usuario genérico) que aparece al lado de cada huella digital.

En una investigación publicada la semana pasada, Laeb dice que descubrió que el 90% de todas las huellas dactilares robadas que figuran en Génesis tenían un formato de 8-8-8-8-8 (ocho caracteres alfanuméricos en cinco bloques sucesivos), lo que sugiere que provienen de una sola cepa de malware.

genesis-classes.png "height =" auto "width =" 370 "src =" https://zdnet3.cbsistatic.com/hub/i/r/2020/02/26/6732be50-823c-4353-99d3-81402d9b7249 /resize/370xauto/9d506f8b57851b094c9aa5d9ec44b0da/genesis-classes.png

Imagen: KELA

Después de más investigaciones, Laeb dijo que pudo rastrear este GUID hasta el formato asignado a las víctimas infectadas por el malware AZORult para robar información, lo que tiene mucho sentido ya que AZORult fue una de las cepas de malware más activas y generalizadas utilizadas en 2019 y sería capaz de alimentar un sitio del tamaño de Génesis.

Si bien Laeb sospecha que hay varias pandillas de malware que operan distintas botnets de malware AZORult y luego proporcionan huellas dactilares robadas a los administradores de Genesis, es bastante claro para un observador externo que AZORult es el principal punto débil de Genesis.

Por ejemplo, si algo le sucediera al malware AZORult, toda la cadena de suministro de Genesis Store estaría en peligro, casi sin alternativas para los administradores de Genesis.

La actualización de Chrome 80 paraliza las operaciones de Genesis

Y esto es exactamente lo que sucedió a principios de febrero de 2020, cuando Google lanzó Chrome 80.

Con Chrome 80, Google cambió a usar el algoritmo AES-256 para hacer hash contraseñas almacenadas localmente dentro de la base de datos SQLite interna de Chrome.

Este cambio a AES-256 ha dado como resultado que las contraseñas guardadas en Chrome tengan un formato diferente al que tenían antes. Aunque pequeño dentro de la enorme base de código de Chrome, este pequeño cambio ha paralizado la capacidad de AZORult de extraer contraseñas de los navegadores Chrome.

En una llamada telefónica esta semana, dijo Laeb ZDNet que esta actualización de Chrome tuvo un impacto inmediato y tremendo en las operaciones de Genesis.

Mientras que el año pasado Genesis estaba viendo una afluencia constante de 18,000 nuevas huellas dactilares robadas que se agregaban al sitio diariamente, este número ahora ha bajado 30 veces a aproximadamente 600 nuevas entradas.

Sin una entrada constante de nuevas huellas dactilares, la base de datos de la tienda también comenzó a reducirse lentamente de tamaño, pasando de su máximo de 335,000 credenciales robadas a aproximadamente 200,000-230,000, el volumen listado en las últimas semanas, después de la actualización de Chrome 80.

La segunda muerte de AZORult

Le dijo Laeb ZDNet que las cosas no se ven bien para el sitio a menos que hagan un cambio completo a otra variedad de malware y reemplacen a AZORult.

Él cita reemplazar AZORult porque desarrollo de la cepa de malware AZORult detenida a a finales de 2018 cuando el autor del malware lo canceló.

Si bien las versiones descifradas de AZORult todavía se venden o intercambian en línea, el código fuente del malware ya no está disponible. Esto significa que las bandas criminales que dependen de AZORult no pueden actualizar el malware para contrarrestar los cambios introducidos en Chrome 80.

Como señaló Laeb en su investigación, estamos viendo efectivamente la segunda muerte de AZORult, después de la de finales de 2018. Además, esta parece ser permanente.

Sin embargo, aunque Chrome 80 mató a AZORult, otras cepas de malware no han tenido problemas para actualizar sus bases de código, y el desarrollador del infostealer Raccoon proporcionó una actualización pocos días después del lanzamiento de Chrome 80.

racoon-stealer-ad.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/02/26/102fb69e-4f58-49a8-bbde-14d02c9c5efc/racoon-stealer-ad.png

Imagen: KELA (suministrada)

Se espera que otras cepas de malware sigan su ejemplo, e incluso el equipo de seguridad de Google no espera que este cambio sea más que una molestia para la mayoría de los autores de malware.

"Nuestro objetivo es mejorar la seguridad de Chrome con cada lanzamiento", dijo un portavoz de Google ZDNet en un correo electrónico ayer

"Con (Chrome) 80, realizamos cambios que nos permiten aislar la pila de red de Chrome en su propio proceso de espacio aislado. Como parte de esos cambios, endurecimos el algoritmo para contraseñas / cookies encriptadas y cambiamos los mecanismos de almacenamiento, lo que interrumpió las herramientas. que los ladrones de datos confían actualmente ", dijo Google.

"Estos cambios no son una defensa permanente contra tales ataques, y como tal, recomendamos encarecidamente el uso de una autenticación robusta de múltiples factores, en particular el soporte de clave U2F nativo de Chrome", dijo Google.

Genesis probando un reemplazo de AZORult

Sin embargo, para los administradores de Genesis, un problema mayor sigue siendo el suministro cada vez menor de nuevas huellas dactilares de la tienda.

Le dijo Laeb ZDNet que en los últimos días, los administradores de Genesis parecen haber dejado de agregar nuevas huellas digitales basadas en AZORult por completo, y ahora están agregando constantemente nuevas huellas digitales que han sido robadas con la ayuda de una cepa de malware aún por determinar.

Sin embargo, las nuevas entradas aún no se acercan a los niveles vistos el año pasado en el apogeo de AZORult, y el problema de la cadena de suministro de la tienda sigue siendo un problema.

génesis-nueva-amenaza.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/02/26/4fd9c704-2588-4e41-927d-68e8caa016a4/genesis-new-threat.png

Imagen: KELA (suministrada)

Pero, para ser justos, esperamos que Genesis sobreviva a la "segunda muerte" de AZORult.

Esto se debe a que las personas que estaban operando las redes de bots AZORult también descubrirán que el malware ya no es efectivo contra las versiones recientes de Chrome, y muy probablemente también cambiarán a una nueva variedad de malware.

Una vez que lo hagan, se espera que estos proveedores reaviven sus asociaciones comerciales con Genesis y proporcionen a la tienda nuevas huellas digitales. Queda por ver si la cantidad de huellas dactilares robadas volverá a los niveles del año pasado.

De todos modos, el impacto de Genesis es duradero en el panorama de los delitos cibernéticos, y otros servicios similares también han aparecido mientras tanto, como RichLogs. Si Genesis no puede adaptarse a la segunda muerte de AZORult, las huellas digitales seguirán estando disponibles en otros lugares.





Enlace a la noticia original