Les administrateurs du Genesis Market pour les informations d’identification volées ont annoncé sur un forum de hackers qu’ils avaient vendu le magasin et qu’un nouveau propriétaire prendrait les rênes « le mois prochain ».
Cette annonce intervient environ trois mois après que les forces de l’ordre ont saisi certains des domaines du marché sur le clearnet dans le cadre de l’opération Cookie Monster.
Forfait Genesis Market vendu en trois semaines
Le 28 juin, le compte GenesisStore, utilisé par un opérateur du Genesis Market pour des annonces sur un forum de hackers, a posté que le groupe à l’origine du magasin avait décidé de vendre la plateforme.
Dans un message partagé par Eric Clay de Flare avec Breachtrace, le vendeur a déclaré que le package comprenait « le magasin avec tous les développements », une base de données complète sans quelques détails sur les clients, le code source, les scripts et l’infrastructure du serveur ».
L’accord inclurait également l’inventaire qui a fait du marché une entreprise cybercriminelle florissante :
- empreintes digitales de l’appareil (par exemple, cookies, adresses IP, fuseaux horaires, informations sur l’appareil)
- biscuits
- le récupérateur de formulaire qui a collecté toutes les données (code JavaScript personnalisé)
- mots de passe enregistrés
- autres détails personnels provenant d’ordinateurs en réseau
GenesisStore a séduit les acheteurs potentiels en disant que l’acquisition de la plate-forme augmenterait considérablement les bénéfices de ceux qui ont déjà un « flux de trafic ».
Jeudi, GenesisStore a annoncé qu’un client avait effectué un dépôt et que l’accord devrait être conclu «le mois prochain», le nouveau propriétaire prenant le contrôle total.
Les administrateurs du marché ont également noté qu’ils ne céderaient pas les comptes sur le forum, de sorte que le nouveau propriétaire devrait en créer de nouveaux s’il voulait ce segment communautaire.
Une traduction automatique du message ci-dessus indique « Un acheteur a été trouvé et un dépôt a été effectué. Le magasin sera remis à un nouveau propriétaire le mois prochain. Les comptes sur les forums ne seront pas transférés, le nouveau propriétaire créera de nouveaux comptes si nécessaire . »
Go-to market pour les empreintes digitales des appareils
Genesis Market a été lancé fin 2017 en phase alpha. Après trois ans, c’était le magasin le plus populaire vendant des informations d’identification de compte pour les services en ligne, les empreintes digitales des appareils et les cookies.
Une partie du succès a été de développer un code JavaScript personnalisé pour collecter toutes les données nécessaires à la création d’une empreinte digitale de l’appareil permettant de se faire passer pour la machine victime se connectant à un service.
Pour le fournisseur de services, cela apparaissait comme une connexion régulière du propriétaire légitime du compte utilisant sa machine habituelle à partir de l’emplacement géographique normal.
Le JavaScript a été distribué via divers logiciels malveillants voleurs d’informations (RedLine, DanaBot, Raccoon et AZORult).
Genesis Market a loué des bots qui ont fourni au client des identités de compte volées en temps réel. De cette façon, en cas de changement de détails sur la machine victime, le bot se répliquerait presque instantanément.
Selon le type de compte, le prix d’un bot variait de 0,70 $ pour les comptes grand public (Gmail, Facebook, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, eBay) à des centaines de dollars américains. pour les services bancaires en ligne.
Lorsque les forces de l’ordre ont saisi les domaines clearnet de Genesis Market, la plate-forme a proposé environ 80 millions d’informations d’identification et d’empreintes digitales numériques, selon la National Crime Agency au Royaume-Uni.
Malgré cette action, la plateforme est restée en activité sur le dark web. Les chercheurs de ZeroFox ont déclaré à l’époque que le marché avait augmenté son inventaire avec de nouveaux robots après que l’opération Cookie Monster des forces de l’ordre ait atteint les domaines Web clairs.