注册
登录
新闻动态
其他科技
返回
让黑客冒充您的 Cookie 市场内部
作者:
糖果
发布时间:
2024-04-13 07:23:17 (5天前)
来源:
genesis-market-buy-cookies-slack
入侵 EA 的黑客的代表表示,他们是从一个名为 Genesis Market 的网站购买了 cookie。 上周主板透露,黑客从游戏出版巨头电子艺界窃取了大量数据,包括 Frostbite 引擎和FIFA 21游戏的源代码。黑客表示,他们这样做的部分原因是,他们以 10 美元的价格购买了一个 cookie,让他们可以登录到 EA Slack 帐户,然后欺骗 EA 的 IT 支持授予访问公司内部网络的权限。 现在,黑客的代表告诉主板他们据称在哪里购买了该 cookie:Genesis Market,这是一个仅限邀请的地下网站,网络犯罪分子可以在该网站上获取从被黑计算机中提取的 cookie,以获得大量服务。 “可以通过 URL 过滤销售,”EA 黑客的代表在一次在线聊天中表示,并指出犯罪分子可以搜索 Slack 或 Okta 等域,这是一种流行的网络安全和登录服务,旨在让更多人访问公司资产。安全的。 “例如 .okta.com、.enterprise.slack.com 等,”他们写道。 你在黑客攻击中使用了 Genesis Market 的数据吗?你对网站还有什么了解吗?我们很乐意听取您的意见。使用非工作电话或计算机,您可以通过 +44 20 8133 5190 的 Signal 安全联系 Joseph Cox,josephcox 的 Wickr,jfcox@jabber.ccc.de 的 OTR 聊天 ,或发送电子邮件至 joseph.cox@vice.com。 一个极少数 的网络安全公司 和行业出版物已经涵盖在过去几年的网站。但它所谓的与引人注目的违规行为的联系表明它在数字地下的相关性越来越大。 Cookie 是存储在您计算机上的小文件,可以保存各种信息。有时,广告公司可以使用它们来跟踪站点之间的浏览活动;其他时候它们用于存储登录详细信息并让您登录到不同的网站。在 Genesis 上,犯罪分子不只是买一块饼干;他们购买了对“bot”的独家访问权,这是一台受感染的计算机,它是僵尸网络的一部分,可能包含任意数量的登录详细信息。但更重要的是,Genesis 还允许客户从本质上重新创建受害者浏览器的一对一副本,同时保留他们的 cookie 和设备指纹。 曾调查 Genesis 的网络安全公司 Netacea 的威胁研究主管马修·格雷西-麦克明 (Matthew Gracey-McMinn) 告诉主板说:“有人基本上得到了一个完美的面具。” 在某些情况下,使用从 Genesis 购买的数据可能会让黑客绕过双因素身份验证,因为例如,登录的服务可能不会提示看似合法的用户从手机中获取额外代码。在该网站看来,登录的人使用的是已知设备。 Gracey-McMinn 补充说,这类数据使黑客和受害者“几乎无法区分”。 Gracey-McMinn 说,虽然机器人经常被用来重新路由黑客的流量,使执法部门更难识别他们的位置,或进行分布式拒绝服务攻击,但 Genesis 提供了一个机会,使僵尸网络所有者的收入来源多样化. Gracey-McMinn 说:“我们在这些计算机上,我们可以看到它们上发生的一切。为什么我们不在这些数据进入时将其泄露——登录凭据、浏览器指纹,等等。” 根据网络安全公司 F5 的 Gracey-McMinn 和 Dan Woods 分享的截图和视频,在选择要购买的机器人时,Genesis 会向用户展示包含哪些特定网站,该公司也跟踪了 Genesis。一个待售机器人在多个网络浏览器上链接了 5,000 个 cookie,包括 Facebook、Spotify、Reddit、Pinterest、Apple、Netflix、Binance、GitHub、Steam、Instagram、Adobe、亚马逊、谷歌、Tumblr、Twitter 等各种网站、Dropbox、PayPal、LinkedIn、NvidiaStore、EANetwork 和 Slack。 Gracey-McMinn 和 Woods 都表示,在整个市场上搜索提及 Slack 的机器人返回了 3,500 多个结果。两位研究人员向 Motherboard 展示了整体上市数量大幅增长,有近 400,000 个上市。 该站点本身为用户提供了一个灵活的自助服务界面。伍兹展示了他在使用市场时与网站管理员进行的主板客户支持通信。回答是完美的英语。 购买机器人后,黑客可以简单地获取包含在 cookie 中的公开登录详细信息(例如电子邮件地址和密码)并访问相关站点。或者,他们可以使用 Genesis 提供的浏览器插件,让黑客使用暴露的信息在更有说服力的水平上模仿受害者。在这里,Genesis 将创建一个配置文件——Gracey-McMinn 提到的掩码——然后黑客将其导入到他们自己的浏览器中。屏幕截图显示,第一个文件是免费的,但客户需要付费才能根据 cookie 和浏览器信息生成新的配置文件。 并且新数据可能会不断流入。客户不一定只是购买机器人,使用凭据,然后继续前进。如果收集信息的恶意软件在受害者的机器上仍然处于活动状态,Genesis 将使用新数据更新自己,并在数据到达时通知用户。 “如果我早点买的话,我基本上已经很划算了。我可以用 70 美分买到最终价值数百美元的东西,”格雷西-麦克明说。 Gracey-McMinn 表示,他们认为 Genesis 是一个单一的卖家市场,只有一群人出售从恶意软件中收集的信息。Woods 认为,Genesis 的创建者最初将用他们自己的恶意软件收集的物品填充到市场上,然后允许其他人也销售产品。一个原因是,在市场上成千上万的机器人中,一些机器人名称(一系列字母数字字符)包含一个恒定的子字符串。 “我们认为这与特定的群体有关,”伍兹告诉主板。 两位研究人员都表示,他们相信来自 Genesis 的信息正被用于现实世界的攻击。伍兹特别表示,F5 对 Genesis 插件进行了逆向工程,因此它可以观察攻击者何时使用它来对付他们的客户。Woods 表示,他们已经观察到了数十起与 Genesis 相关的攻击,但他警告说,黑客仅使用暴露的登录凭据本身而不是插件的攻击将更难以检测到。 现在,随着 EA 黑客攻击,知名组织似乎也受到了 cookie 的攻击。 “这些人是专业人士;他们不是扒手,”Gracey-McMinn 谈到 Genesis 的管理员时说。
收藏
举报
1 条回复
动动手指,沙发就是你的了!
登录
后才能参与评论