В киберпрестъпния свят, Russian Market се утвърждава като водеща платформа за търговия с откраднати идентификационни данни, добивани чрез зловреден софтуер от типа „infostealer“. Макар пазарът да е активен от около шест години и да доби популярност още през 2022 г., анализ на ReliaQuest показва, че платформата преживява нов пик след премахването на конкурента Genesis Market, създавайки вакуум, който Russian Market бързо запълни.

Какво представляват infostealer логовете?

Infostealer зловредният софтуер краде чувствителна информация от заразени устройства — пароли, „бисквитки“ от сесии, данни за кредитни карти, крипто портфейли и технически характеристики на системата. Тези данни се събират в т.нар. лог файлове, които впоследствие се качват на сървърите на нападателите и се предлагат за продажба на пазари като Russian Market.

Според ReliaQuest, един лог може да съдържа десетки или хиляди акаунти, като общият брой на компрометираните данни се изчислява в стотици милиони. В Russian Market цените започват от едва $2, което го прави достъпен и атрактивен за множество престъпни групи.

Повечето данни са „втора употреба“, но изключително ценни

Около 85% от логовете в Russian Market са „рециклирани“ — т.е. събрани от вече известни източници. Въпреки това, платформата продължава да привлича масова аудитория, предлагайки широк асортимент и лесен достъп до инструменти за злоупотреба с компрометирани акаунти.

Значителна част от логовете съдържат данни за SaaS платформи, като Google Workspace, Zoom и Salesforce — 61% от логовете според ReliaQuest. Освен това, 77% съдържат SSO (Single Sign-On) идентификационни данни, което отваря вратата към критично важни системи в корпоративна среда.

„Компрометираните облачни акаунти предоставят достъп до чувствителни системи и идеални възможности за кражба на данни,“ предупреждават анализаторите.

Залезът на Lumma и възходът на Acreed

Анализ на над 1.6 милиона публикации в Russian Market показва, че Lumma Stealer доминира пазара до неотдавна — с 92% от всички продадени логове, благодарение на вакуума след краха на Raccoon Stealer. Но и Lumma попадна под ударите на глобална акция на правоохранителните органи, при която бяха отнети над 2 300 домейна.

Въпреки че разработчиците на Lumma се опитват да възстановят инфраструктурата си, анализатори вече отчитат внезапен подем на нов инфостийлър — Acreed. Според Webz, само през първата седмица след появата му в Russian Market, Acreed генерира над 4 000 лог файла, което показва бързото му възприемане от киберпрестъпниците.

Acreed не се отличава съществено от други инфостийлъри – той събира данни от браузъри като Chrome и Firefox, включително пароли, бисквитки, крипто портфейли и данни за плащания.

Разпространение и защита

Зловредният софтуер се разпространява чрез:

• Фишинг имейли

• „ClickFix“ атаки – фалшиви софтуерни кръпки

• Реклами за фалшив премиум софтуер

• Заразен мултимедиен контент в YouTube и TikTok

Добрата хигиена при сваляне на софтуер, използването на надеждни антивирусни решения и внимание при отваряне на имейли или реклами остават най-добрите защити срещу подобни заплахи.