04/06/25
Хотя платформа существует уже около шести лет, поворотный момент в её развитии наступил в 2022 году, а по данным ReliaQuest, настоящий всплеск активности пришёлся на недавнее время — после того, как был ликвидирован один из ключевых конкурентов, Genesis Market. Освободившийся рынок быстро заполнила именно Russian Market.
Популярность площадки связана не только с ситуацией в даркнете, но и с её внутренней политикой, пишут в Securitylab. Примерно 85% логов, выставляемых на продажу, являются «recycled» — ранее похищенными и уже где-то использовавшимися данными, которые продаются повторно. Несмотря на это, благодаря огромному выбору и крайне низким ценам — от $2 за лог — маркет сумел привлечь огромную аудиторию. Для киберпреступников это возможность получить доступ к аккаунтам, сессионным cookie, банковским картам, криптокошелькам и профилям устройств по минимальной цене.
Инфостилер-лог представляет собой один или несколько файлов, которые формируются на заражённом компьютере после действия вредоносной программы. Эти файлы могут содержать десятки или даже тысячи строк с конфиденциальной информацией: пароли, cookie-файлы, данные кредитных карт, seed-фразы от криптокошельков, сессионные токены, сведения о браузерах и параметры системы. После сбора лог отправляется на удалённый сервер злоумышленника, а затем либо используется для последующих атак, либо выставляется на продажу на таких платформах, как Russian Market.
Современные инфостилеры используются в том числе в атаках на корпоративный сектор. Злоумышленники всё чаще нацеливаются на сотрудников компаний, чтобы похитить не только пароли, но и сессионные cookie, которые позволяют обойти двухфакторную аутентификацию и получить доступ к внутренним облачным сервисам. По статистике ReliaQuest, 61% логов на Russian Market содержат учётные данные от SaaS-платформ, включая Google Workspace, Zoom и Salesforce. Ещё 77% логов включают данные от SSO-сервисов, что делает эти сессии особенно опасными для корпоративной безопасности.
Вредоносные программы, создающие такие логи, распространяются через разнообразные каналы — от фишинговых писем до рекламных ловушек (malvertising), поддельных сайтов загрузки платного ПО и видеороликов на YouTube и TikTok. Отдельно специалисты указывают на популярную схему «ClickFix» , при которой пользователю предлагают якобы исправление ошибки или обновление, а на деле происходит заражение.
Компания ReliaQuest проанализировала более 1,6 миллиона посланий на Russian Market, чтобы понять, какие именно инфостилеры формируют логовый поток.
До недавнего времени рынок фактически был монополизирован Lumma Stealer, на долю которого приходилось 92% всех логов. После ликвидации Raccoon Stealer Lumma стал новым лидером в этой нише.
Однако устойчивость Lumma была нарушена в ходе масштабной операции международных правоохранительных органов, в результате которой было изъято более 2300 доменов, связанных с инфраструктурой вредоноса. По данным Check Point, разработчики Lumma сейчас пытаются восстановить свои мощности и заново выстроить каналы распространения, но результаты этой перестройки остаются неясными.
На фоне падения Lumma стремительно начал расти новый инфостилер под названием Acreed. Уже в первую неделю с момента запуска, по данным Webz, было загружено свыше 4 000 логов, полученных с его помощью. Acreed работает по классической схеме: заражает систему, собирает данные из браузеров Chrome, Firefox и их производных, включая сохранённые пароли, cookie, данные платёжных систем и криптовалютные ключи.
С технической точки зрения Acreed не предлагает ничего радикально нового, но благодаря гибкой схеме распространения и отсутствию конкуренции после падения Lumma, он быстро набрал обороты на Russian Market. С учётом дешёвизны логов и огромного количества учётных данных в каждом из них, такие инструменты представляют собой критическую угрозу как для рядовых пользователей, так и для крупных организаций.
