Uma força-tarefa, que incluiu o FBI, a Europol e agências de inteligência e segurança cibernética de 17 países, desmantelou nesta quarta-feira, 5, o Genesis Market, um mercado da darknet que vendia credenciais de contas e informações de identificação roubadas de usuários da internet. O Genesis Market obtinha acesso aos dispositivos das vítimas por meio de cookies de navegadores, roubava os dados e os oferecia em sua loja, incluindo nomes de usuários e senhas.

Ontem, o Escritório de Controle de Ativos Estrangeiros (OFAC, na sigla em inglês), ligado ao Departamento do Tesouro dos EUA, também tomou medidas para aplicar sanções aos administradores do site, que ainda estão foragidos.

A interrupção das operações do Genesis Market foi resultado da operação batizada de “Cookie Monster”, uma referência aos cookies vendidos no site em grandes volumes nos últimos cinco anos, juntamente com outros dados necessários para fazer login em máquinas de usuários da internet. Ao todo foram realizados 200 mandados buscas e apreensões e cerca de 100 ações preventivas em todo o mundo, que resultaram na prisão de 120 pessoas.

Participaram do esforço global de remoção do Genesis Market, a Trellix e a Computest, que foram abordadas por várias agências, antes da interrupção da operação, solicitando assistência para análise e detecção dos binários maliciosos vinculados ao site. O objetivo principal era inutilizar os scripts e binários do mercado. 

Segundo os pesquisadores de segurança da Trellix, ao longo dos anos, o site trabalhou com uma grande variedade de famílias de malware para infectar as vítimas, cujos scripts foram usados para roubar informações, depois usadas para abastecer a loja do Genesis Market. As famílias de malware ligadas ao site pertenciam aos suspeitos habituais de roubo de informações, como o AZORult, Raccoon, Redline e DanaBot. Em fevereiro deste ano, o Genesis Market começou a recrutar vendedores ativamente. 

Ainda de acordo com a equipe de especialistas da Trellix, o site também oferecia aos seus usuários um navegador especializado exclusivo, chamado Genesium, e plug-in que permitiam a injeção dos “artefatos” roubados, tornando a invasão de contas bastante fácil para os cibercriminosos. O mercado era um local apenas para convidados, pois exigia a indicação de membro do site para que pudessem se registrar. Tanto que a maioria das mensagens que o Centro de Pesquisa Avançada da Trellix encontrou mencionando o Genesis Market eram de pessoas pedindo que fosse fornecida uma referência, muitas se mostrando dispostas até a pagar por essa referência.

“Quando examinamos o mercado, observamos mais de 450 mil bots listados, ou máquinas infectadas, e as autoridades policiais relatam mais de 1,5 milhão de bots no total”, disseram John Fokker, Ernesto Fernández Provecho e Max Kersten, pesquisadores do Centro de Pesquisa Avançada da Trellix.

Como operava o ‘Cookie Monster’

Os pesquisadores contam que durante a pesquisa foi encontrado o navegador Genesium e o plug-in no VirusTotal, carregados por uma ou mais entidades desconhecidas. Isso mostra que as ferramentas foram usadas em estado “selvagem”, o que possibilitou o acesso aos arquivos para criar regras de detecção. No entanto, dada a singularidade do navegador e como ele foi projetado para facilitar o cibercrime, não é recomendado o uso do navegador e do plug-in.

De acordo com Fokker, Provecho e Kersten, os “artefatos” roubados eram usados em combinação com um serviço VPN ou usando a máquina da vítima como um proxy. Isso permitia que o criminoso assumisse a identidade da vítima e, portanto, agisse como se fosse a vítima. Os serviços geralmente usam cookies e impressões digitais para identificação contínua, mesmo após uma autenticação multifator (MFA) inicial. Os cibercriminosos exploravam o status confiável dos detalhes roubados.

Veja isso
Acer confirma invasão após 160 GB de dados à venda na dark web
Acesso ao servidor do Telegram é oferecido na dark web

A Trellix explica que a vida útil de um cookie determina por quanto tempo ele é válido. Depois de expirado, ele é invalidado e o serviço exigirá que o usuário faça login novamente. A segurança depende de três fatores: uma senha, impressão digital do navegador e alguém a quem os dois fatores anteriores pertencem. Enquanto os dois primeiros podem ser roubados, o último está vinculado a uma pessoa. A ideia é que a senha seja conhecida apenas pelo dono da conta, que faz login pelo navegador com uma impressão digital específica. Enquanto o cookie — gerado ao fazer login com a senha correta — e a impressão digital são verificados, isso normalmente é feito pela pessoa que usa a conta. Ao lidar com cookies e impressões digitais roubados, um hacker pode reutilizar a sessão e representar a vítima.

Acredita-se que o Genesis Market esteja localizado na Rússia. Ele tem presença na internet tradicional e dark web e é um dos brokers (corretores) de venda de credenciais roubadas e outras informações confidenciais mais proeminentes. O site compila dados roubados de vítimas — incluindo identificadores de computadores e dispositivos móveis, endereços de e-mail, nomes de usuário, senhas e outras credenciais — de sistemas infectados por malware em todo o mundo e os empacota para venda. 

Em 1º de fevereiro, havia aproximadamente 460 mil pacotes listados para venda no Genesis Market, cada um representando um único computador ou dispositivo comprometido. Os pacotes continham senhas roubadas e informações pessoais para uma variedade de contas online, incluindo e-mail, mídia social e plataformas de streaming de vídeo, entre outras.