“Russian Market”網(wǎng)絡(luò)犯罪市場已成為買賣信息竊取惡意軟件憑證最受歡迎的平臺之一。此前，盡管Russian Marke已經(jīng)活躍了大約6年，但到2022年才變得相對受歡迎，但ReliaQuest報告稱，Russian Marke最近已經(jīng)達到了新的高度。人氣飆升的部分原因是Genesis Market的關(guān)閉，造成了該領(lǐng)域的巨大空白。

盡管在Russian Marke上出售的大多數(shù)（85%）證書都是從現(xiàn)有資源中“回收”的，但由于其廣泛的銷售項目選擇和低至2美元的日志可用性，它仍然贏得了大量的網(wǎng)絡(luò)犯罪受眾。

infostealer日志通常是由infostealer惡意軟件創(chuàng)建的文本文件或多個文件，其中包含從受感染設(shè)備竊取的帳戶密碼、會話cookie、信用卡數(shù)據(jù)、加密貨幣錢包數(shù)據(jù)和系統(tǒng)分析數(shù)據(jù)。

每個日志可能包含數(shù)十甚至數(shù)千個憑據(jù)，因此被盜憑據(jù)的總數(shù)可能達到數(shù)億甚至更多。一旦收集到，日志就會被上傳到攻擊者的服務(wù)器上，在那里它們被收集起來用于進一步的惡意活動，或者在Russian Marke等市場上出售。

市場上的日志頁面

信息竊取器已經(jīng)成為威脅者非常流行的工具，現(xiàn)在有許多攻擊活動以企業(yè)為目標，竊取會話cookie和企業(yè)憑證。

ReliaQuest表示，俄羅斯市場也反映了這一點，61%的被盜日志包含來自谷歌Workspace、Zoom和Salesforce等平臺的SaaS憑證。此外，77%的日志包含SSO（單點登錄）憑據(jù)。

研究人員解釋說：“被破壞的云賬戶為攻擊者提供了訪問關(guān)鍵系統(tǒng)的機會，并提供了竊取敏感數(shù)據(jù)的絕佳機會。”

Lumma被迫關(guān)閉，Acreed日漸興盛

ReliaQuest分析了俄羅斯市場上超過160萬個帖子，以繪制特定信息竊取惡意軟件的受歡迎程度起伏。直到最近，大多數(shù)日志都被Lumma stealer竊取，占Russian Marke上銷售的所有憑證日志的92%。

Infostealer記錄俄羅斯市場的百分比

在執(zhí)法部門采取行動后，Raccoon Stealer倒閉，Lumma主導(dǎo)了市場。然而，Lumma也可能面臨同樣的命運，因為它的業(yè)務(wù)最近被全球執(zhí)法部門的一次行動打斷，其中2300個域名被查獲。

此次行動的長期結(jié)果尚不清楚，Check Point報告稱，Lumma的開發(fā)者目前正試圖重建并重啟他們的網(wǎng)絡(luò)犯罪業(yè)務(wù)。

與此同時，ReliaQuests報告稱，一個名為accord的新信息提供商突然崛起，在Lumma被關(guān)閉后，它迅速獲得了吸引力。據(jù)報道，在運營的第一周內(nèi)，就上傳了超過4000條日志，這反映了協(xié)議在俄羅斯市場的迅速上升。

就其目標信息而言，accord與典型的信息竊取者并沒有什么不同，這些信息包括存儲在Chrome、Firefox及其各種衍生產(chǎn)品中的數(shù)據(jù)，包括密碼、cookie、加密貨幣錢包和信用卡詳細信息。

信息竊取者通過網(wǎng)絡(luò)釣魚郵件、“ClickFix”攻擊、高級軟件惡意廣告以及YouTube或TikTok視頻感染用戶。因此，建議人們保持警惕和良好的軟件下載習(xí)慣，以避免廣泛風(fēng)險。

參考及來源：https://www.bleepingcomputer.com/news/security/russian-market-emerges-as-a-go-to-shop-for-stolen-credentials/