Специалисты компании KELA обратили внимание, что у торговой площадки Genesis, где торгуют не просто личными данными пользователей, но готовыми виртуальными личностями, возникли серьезные проблемы. Так, количество ворованных учетных данных на сайте уже снизилось на 35% и продолжает падать. Это происходит из-за того, что вредонос AZORult, похищающий учетные данные пользователей, не работает со свежим Chrome 80.
Напомню, что маркетплейс Genesis детально описан исследователями «Лаборатории Касперского» в прошлом году. Эта торговая площадка была запущена в конце 2018 года и предлагала приобрести не просто чужие персональные данные, но более 60 000 готовых виртуальных личностей, то есть максимально подробные данные о поведении пользователей в сети: историю посещения сайтов, информацию об операционной системе, браузере, установленных плагинах и так далее. К концу 2019 года на сайте насчитывалось уже более 335 000 готовых «личностей».
Каждый из выставленных на продажу наборов цифровых отпечатков включает в себя учетные данные от различных учетных записей (платежные аккаунты, профили в социальных сетях, сервисы обмена файлами и так далее), куки, детали user-agent, подписи WebGL, а также другую информацию о браузере и компьютере жертвы (зачастую более 100 различных параметров). Стоят такие комплекты данных от 5 до 200 долларов США.
Более того, для удобства своих покупателей операторы Genesis разработали специальное расширение для Chrome — Genesis Security. Оно позволяет злоумышленнику использовать купленную цифровую «маску» для воссоздания виртуальной личности ее настоящего владельца и тем самым обманывать системы защиты.
После публикации отчета «Лаборатории Касперского» эксперты KELA приложили немало усилий, изучая Genesis и силясь понять, как именно он работает. В частности, экспертов очень интересовало, откуда берутся личные данные в таком количестве. Одна из теорий гласила, что данные с пользовательских машин собирает некая малварь, но какая именно, оставалось неясным.
В итоге специалистам KELA удалось выяснить, что 90% всех представленных на торговой площадке цифровых отпечатков связаны с одной разновидностью малвари. Изучив формат GUID, который присваивался жертвам, эксперты пришли к выводу, что, скорее всего, они имеют дело с известным вредоносом AZORult. Это имело смысл, так как AZORult являлся одним из наиболее активных и широко распространенных видов малвари в 2019 году и вполне мог снабжать информацией ресурс масштаба Genesis. Аналитики пишут, что, вероятнее всего, сразу несколько хак-групп, управляющих ботнетами AZORult, поставляли данные марткетплейсу.
Но в феврале 2020 года компания Google выпустила Chrome 80, и с релизом этой версии для хеширования паролей в браузере (хранящихся локально во внутренней БД Chite SQLite) стал применяться AES-256. Из-за этого пароли в браузере стали сохраняться в другом формате, и эта мелочь фактически подорвала работоспособность AZORult, так как малварь лишись возможности извлекать пароли из Chrome.
Напомню, что разработка AZORult была прекращена еще в 2018 году. Вероятно, это было связано с тем, что ранее в широкий доступ попала версия AZORult 3.2, а также исходный код административной панели для управления ботнетом. Эта версия малвари активно распространилась на хакерских форумах, где пользователь мог скачать ее и, практически не имея специальных навыков, настроить для использования в своих целях. Так что теперь, когда Chrome 80 "все сломал", обновлений ждать не приходится.
Небольшое изменение в Chrome сказалось и на деятельности Genesis. Так, в прошлом году на торговую площадку каждый день добавлялось порядка 18 000 новых украденных цифровых отпечатков, а теперь это число сократилось в 30 раз и составляет примерно 600 новых записей в день. Маркетплейс стал постепенно уменьшаться в размерах, и общее число ворованных учетных данных уже сократилось примерно до 200 000 — 230 000.
Исследователи KELA пишут, что релиз Chrome 80, похоже, станет второй и окончательной «смертью» AZORult, ведь до недавнего времени утекшими исходными кодами вредоноса пользовалось множество группировок, но теперь эксплуатация AZORult теряет смысл.
Операторы Genesis уже начали переходить на другую малварь. По данным аналитиков, на торговую площадку уже перестали поступать похищенные AZORult данные, и постепенно появляется информация, украденная другими вредоносами, которые еще только предстоит «опознать».
Эксперты прогнозируют, что торговая площадка, вероятнее всего, переживет окончательную «смерть» AZORult. Дело в том, что поставщики маркетплейса скоро поймут, что после релиза Chrome 80 AZORult стал почти бесполезен, переключатся на использование других угроз, а затем возродят свои партнерские отношения с Genesis. Впрочем, операторам Genesis лучше поторопиться, так как уже появились другие и подобные сервисы (например, RichLogs), которые могут воспользоваться нестабильностью ситуации и перехватить пальму первенства.