Genesis Market インフラの売買が成立:ダークウェブの老舗は8月に新オーナーへ

Genesis Market infrastructure and inventory sold on hacker forum

2023/07/14 BleepingComputer — 盗まれた認証情報の取引所である Genesis Market の管理者は、ハッカーフォーラムでストアを売却し、8月にはオーナーが変わることを発表した。この発表の3ヶ月前には、法執行機関が “Operation Cookie Monster” として、クリアネット上におけるマーケットプレイスのドメインの一部を押収している。

Genesis Market のパッケージが3週間で売却された

6月28日に、Genesis Market の運営者のハッカーフォーラムの告知用アカウントである GenesisStore が、ストアの背後にあるグループがプラットフォームを売却することを決定したと投稿した。

サイバー・セキュリティ会社の Flare は、「このパッケージには、すべての開発成果とストアが、つまりクライアント/ソースコード/スクリプト/サーバなどのインフラに関する、いくつかの詳細を除いた、完全なデータベースが含まれている」と、BleepingComputer と共有した投稿の中で述べている。


この取引には、サイバー犯罪ビジネスで、この市場を繁栄させた在庫も含まれる:

  • デバイスのフィンガープリント (クッキー/IP アドレス/タイムゾーン/デバイス情報など) 
  • クッキー
  • すべてのデータを収集したフォーム・グラバー (カスタム JavaScript コード) 
  • 保存されたパスワード
  • ネットワーク接続されたコンピューターなどのペルソナの詳細

GenesisStore は、このプラットフォームを入手することで、すでに “traffic flow” を持っている顧客の利益が大幅に増加するという謳い文句で、潜在的な買い手に呼びかけていた。GenesisStore によると、7月13日に入金した顧客がおり、8月には取引が成立する見込みとのことだ。

また、このマーケットプレイスの管理者は、フォーラムのアカウントは新しいオーナーに譲渡はされないため、そのコミュニティ・セグメントが欲しければ、アカウントを新規で作成する必要があると述べている。

New owner for Genesis Market for stolen digital identities
マーケットプレイスを売却したと主張する Genesis Market 管理者
Source: Flare

Genesis Market 管理者は上記の投稿で、「買い手が見つかり、手付金が支払われた。Genesis Market は、来月に新しいオーナーに引き渡される。フォーラム上のアカウントは譲渡されないため、新しいオーナーは必要に応じて、新しいアカウントを作成するだろう」と述べている。

フィンガープリントの Go-to Market

Genesis Market は 2017年末にアルファ版でローンチされ、その3年後には、オンラインサービスのアカウント認証情報/デバイス指紋/クッキーなどを販売する、最も人気のあるショップとなった。

彼らの成功の一因には、フィンガープリントの生成に必要な、すべてのデータを収集する、カスタム JavaScript コードを開発したことが挙げられる。

このフィンガープリントにより、被害者のマシンに成りすましてサービスにログインすることが可能になる。つまり、サービス・プロバイダーからは、正規のアカウント所有者が、いつもの場所から、いつものマシンを使ってログインしているように見える。

この JavaScript は、RedLine/DanaBot/Raccoon/AZORult などの、さまざまな情報窃取マルウェアを通じて配布された。

Genesis Market は、盗み出したアカウントの ID を、リアルタイムで顧客に提供するボットをレンタルしていた。そうすることで、被害者のマシンで詳細が変更された場合において、ボットはほぼ瞬時に複製されていた。

このボットの価格は、消費者向けアカウントの $0.70 から、オンライン・バンキング・サービスの数百ドルまで、アカウントの種類により様々だった。これらの消費者向けのアカウントには、Gmail/Facebook/Netflix/Spotify/WordPress/PayPal/Reddit/Amazon/LinkedIn/Cloudflare/Twitter/eBay などが含まれる。

英国の国家犯罪局によると、法執行機関が Genesis Market のクリアネット・ドメインを押収した際に、このプラットフォームは、約 8000万の認証情報とデジタル指紋を提供していたという。

法執行機関である Operation Cookie Monster が、クリアウェブのドメインを攻撃した当時に、このマーケットプレイスは新しいボットで在庫を増やしたと、ZeroFox の研究者たちは述べていた。

Genesis が、どのようなサービスを提供したいたのかについては、2022/08/08 の「Genesis は老舗ダークウェブ:サイバー犯罪者たちに洗練された情報とサービスを提供」を、ご参照ください。また、Operation Cookie Monster’ に関しては、2023/04/06 の「Genesis のテイクダウン:Operation Cookie Monster が老舗のダークウェブを追い詰めた」を、ご参照ください。とにかく Genesis は、この世界の大物なので、今後の展開が気になります。いったい、誰が買うのでしょうか?