Теневые бизнесмены спешат переманить к себе клиентов Joker Stash

Теневые бизнесмены спешат переманить к себе клиентов Joker Stash

Теневые бизнесмены спешат переманить к себе клиентов Joker Stash

После закрытия Joker's Stash, крупнейшей торговой площадки для кардеров, другие сайты того же профиля активизировали свои маркетинговые кампании, пытаясь привлечь внимание осиротевшей клиентуры могучего конкурента. Наблюдая всплеск саморекламы в даркнете, эксперты ИБ-компаний Kela и Flashpoint оценили шансы на успех ведущих игроков кардерского рынка.

Маркетплейс Joker's Stash, согласно объявлению на сайте, должен был закрыться в середине текущего месяца, однако его сервисы полностью выпали из доступа даже раньше — 3 февраля. Аналитики полагают, что к решению о сворачивании операций владельца Joker's Stash подтолкнула карательная акция, предпринятая в декабре правоохранительными органами.

На освободившееся место лидера, по мнению ИБ-исследователей, могут претендовать шесть теневых торговых площадок: Brian's Club, Vclub, Yale Lodge, UniCC, Ferum и Trump's Dumps.

Наибольшую активность в конкурентной борьбе пока проявляет Brian's Club — криминальный маркетплейс с 8-летним стажем. Его операторы опубликовали свою рекламу на русскоязычном форуме XSS вслед за объявлением о закрытии Joker's Stash, а также сменили его на посту официального спонсора популярного кардерского форума Omerta.

Однако, несмотря на хитрые маркетинговые ходы, Brian's Club все еще далеко до пальмы первенства. Этот сайт, по оценкам Kela, может предложить покупателям данные около 5 млн платежных карт, тогда как Joker's Stash в пору своего расцвета выставлял к продаже почти 30 млн лотов.

Высоки шансы также у Yale Lodge: эта торговая площадка, как и Brian's Club, работает и в Tor, и в открытом интернете.  К тому же она имеет собственный сервис проверки подлинности краденой информации. Однако стоимость регистрации на Yale Lodge и минимальная сумма депозита в 10 раз превышают расценки на Joker's Stash, что зачастую отпугивает потенциальных пользователей сайта.

Маркетплейс Trump's Dumps относительно молод, но уже располагает обширным набором сервисов, в том числе предоставляет доступ к средствам валидации краденых данных. В последнее время эта теневая площадка тоже много вкладывается в рекламу.

Самый старый участник рынка Ferum может похвастаться богатым опытом и простотой доступа. Однако его ассортимент, по оценке Flashpoint, заметно беднее, чем у остальных претендентов на первенство.

У UniCC и Vclub шансы минимальны, хотя первый последнее время добавляет в меню по 300 тыс. позиций в неделю, а второй активно старается переманить к себе клиентов Joker's Stash на кардерских форумах. Однако Vclub это слабо помогает: его посетители часто жалуются на плохое качество товара.

 

Давая оценку основным торговым площадкам кардеров, исследователи не преминули отметить, что на самом деле этот рынок значительно больше. Сделки по купле-продаже краденых платежных данных совершаются также на профильных форумах, в мессенджерах и через прямой контакт продавца и покупателя.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru