По информации аналитиков Insikt Group, подавляющее большинство ворованных учетных данных, которые продаются на двух крупных подпольных маркетплейсах даркнета, собраны с помощью малвари RedLine Stealer.
Впервые RedLine Stealer был обнаружен в марте 2020 года. Малварь способна извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и БД криптовалютных кошельков.
Изначально эта малварь продавалась на хак-форумах под названием REDGlade, но после того как инструмент получил положительные отзывы, на тех же форумах стали появляться пиратские версии RedLine Steale. В итоге, к августу текущего года, это позволило малвари распространиться среди злоумышленников достаточно широко, причем им даже не пришлось платить за использование вредоноса. При этом исследователи отмечают, что и платная версия RedLine Steale тоже нашла своих клиентов.
«В июне 2021 года Insikt Group обнаружила на Amigos Market и Russian Market регулярные публикации идентичных лотов, содержащих одинаковые временные метки, данные о географическом расположении затронутых машин и интернет-провайдеров, [полученные с использованием] одних и тех же инфостилеров», — пишут исследователи.
Выводы экспертов Insikt Group перекликаются с похожим отчетом компании KELA, датированным февралем 2020 года. Тогда исследователи обнаружили, что около 90% украденных учетных данных на Genesis Market были получены в результате атак инфостилера AZORult.
Эти выводы специалистов говоря о том, что подпольные маркетплейсы сильно фрагментированы и обычно работают с собственными конкретными поставщиками. Аналогичным образом законные маркетплейсы имеют собственные предпочтения в выборе деловых партнеров.