Genesis Market

Genesis Market era un mercado en línea especializado en la compraventa de información y datos robados. En este mercado, los ciberdelincuentes podían vender y comprar una variedad de datos robados, como información personal, detalles de tarjetas de crédito, contraseñas y otros datos sensibles. Operaba en la dark web y se destacaba por ser un lugar donde se realizaban transacciones ilícitas relacionadas con la información personal y financiera.

La información la información recopilada hasta el momento sugiere que, aunque Genesis Market fue eliminado en abril de 2023, puede haber indicios de que algunas de sus técnicas y herramientas se están utilizando nuevamente en ataques posteriores. Esto resalta la persistencia de ciertos métodos cibernéticos incluso después del cierre de plataformas específicas.

Etapas del último evidenciamiento

Se detectaron operaciones maliciosas utilizando técnicas similares a las empleadas por Genesis Market, un sitio web para facilitar el fraude que fue cerrado en abril de 2023. El actor de amenazas detrás de estas operaciones abusó de Node.js como plataforma para la puerta trasera, firmas de código de validación extendida (EV) para evadir defensas, y posiblemente Google Colab para alojar sitios de descarga optimizados para motores de búsqueda. La carga maliciosa, denominada Lu0Bot, puede ejecutar comandos de puerta trasera en el sistema de los usuarios, así como realizar acciones como la recopilación de datos y ataques de denegación de servicio distribuido (DDoS). Cadena de Infección:

  1. T0: Se descarga el archivo microsoft_barcode_control_16.0_download.exe.
  2. +20 segundos: El usuario ejecuta el archivo descargado.
  3. +1 minuto y 15 segundos: Se ejecuta la primera carga útil.
  4. +1 segundo: Se ejecuta la segunda carga útil.
  5. +13 segundos: Se ejecuta el primer comando de puerta trasera mediante Lu0Bot.
  6. +3 minutos 20 segundos: Se ejecuta el último comando de puerta trasera mediante Lu0Bot.

Análisis de la Primera Etapa:

  • El cargador utiliza Inno Setup y crea un proceso explorer.exe al que se le inyecta código malicioso.
  • El archivo SutiLauncher.exe carga SutiLauncher.dll, que realiza diversas funciones maliciosas, incluyendo la descarga de un código shell cifrado.

Análisis de la Segunda Etapa:

  1. Carga Útil Inicial:
    • Se instala una extensión maliciosa de Google Chrome.
    • Se crean varios archivos y carpetas relacionados con la extensión.
  2. Carga Útil Node.js:
    • Se instala un antiguo pero legítimo Node.js con certificado de firma de código EV.
    • Se ejecuta el malware Lu0Bot, que realiza comandos maliciosos, como cambiar permisos y agregar entradas de ejecución en el Registro.

Certificados de Firma de Código EV:

  • Se descubrieron cargadores EV firmados con código que tenían nombres de archivo diferentes pero valores hash idénticos.

Posible Acceso Inicial:

  • Se especula sobre posibles métodos de acceso inicial, incluyendo el uso de Zoom y el abuso de Google Colab para la distribución de archivos maliciosos.

Ataques Similares y Conclusión:

  • Se observaron ataques similares que compartían la misma infraestructura y módulos de C&C.
  • Se destaca la importancia de que los usuarios sean cautelosos al descargar archivos de Internet y verificar la identidad de los remitentes antes de abrir archivos sospechosos.

Recomendaciones:

  • Se insta a los usuarios a tener precaución al descargar archivos de Internet, especialmente aquellos provenientes de fuentes no confiables.
  • Se recomienda verificar la identidad de los remitentes antes de abrir archivos sospechosos.
  • La atención especial se debe prestar a los archivos ejecutables y a las extensiones de archivo inusuales para prevenir ataques de malware.Se detectaron operaciones maliciosas utilizando técnicas similares a las empleadas por Genesis Market, un sitio web para facilitar el fraude que fue cerrado en abril de 2023. El actor de amenazas detrás de estas operaciones abusó de Node.js como plataforma para la puerta trasera, firmas de código de validación extendida (EV) para evadir defensas, y posiblemente Google Colab para alojar sitios de descarga optimizados para motores de búsqueda. La carga maliciosa, denominada Lu0Bot, puede ejecutar comandos de puerta trasera en el sistema de los usuarios, así como realizar acciones como la recopilación de datos y ataques de denegación de servicio distribuido (DDoS).

Cadena de Infección:

  1. T0: Se descarga el archivo microsoft_barcode_control_16.0_download.exe.
  2. +20 segundos: El usuario ejecuta el archivo descargado.
  3. +1 minuto y 15 segundos: Se ejecuta la primera carga útil.
  4. +1 segundo: Se ejecuta la segunda carga útil.
  5. +13 segundos: Se ejecuta el primer comando de puerta trasera mediante Lu0Bot.
  6. +3 minutos 20 segundos: Se ejecuta el último comando de puerta trasera mediante Lu0Bot.

Análisis de la Primera Etapa:

  • El cargador utiliza Inno Setup y crea un proceso explorer.exe al que se le inyecta código malicioso.
  • El archivo SutiLauncher.exe carga SutiLauncher.dll, que realiza diversas funciones maliciosas, incluyendo la descarga de un código shell cifrado.

Análisis de la Segunda Etapa:

  1. Carga Útil Inicial:
    • Se instala una extensión maliciosa de Google Chrome.
    • Se crean varios archivos y carpetas relacionados con la extensión.
  2. Carga Útil Node.js:
    • Se instala un antiguo pero legítimo Node.js con certificado de firma de código EV.
    • Se ejecuta el malware Lu0Bot, que realiza comandos maliciosos, como cambiar permisos y agregar entradas de ejecución en el Registro.

Certificados de Firma de Código EV:

  • Se descubrieron cargadores EV firmados con código que tenían nombres de archivo diferentes pero valores hash idénticos.

Posible Acceso Inicial:

  • Se especula sobre posibles métodos de acceso inicial, incluyendo el uso de Zoom y el abuso de Google Colab para la distribución de archivos maliciosos.

Ataques Similares y Conclusión:

  • Se observaron ataques similares que compartían la misma infraestructura y módulos de C&C.
  • Se destaca la importancia de que los usuarios sean cautelosos al descargar archivos de Internet y verificar la identidad de los remitentes antes de abrir archivos sospechosos.

Recomendaciones:

  • Se insta a los usuarios a tener precaución al descargar archivos de Internet, especialmente aquellos provenientes de fuentes no confiables.
  • Se recomienda verificar la identidad de los remitentes antes de abrir archivos sospechosos.
  • La atención especial se debe prestar a los archivos ejecutables y a las extensiones de archivo inusuales para prevenir ataques de malware.