Fortgale Blog » I Black Market: Come sono organizzati e quali dati contengono

Si parla spesso di attacchi informatici, di Malware, di Ransomware ed estorsioni, ma uno degli aspetti di particolare interesse è rappresentato da ciò che sostiene l’intero business criminale: i Black Market e i Forum dell’underground.

In questo articolo mostriamo alcuni dettagli di un noto Black Market apparentemente associato a criminali dell’est Europa e della Russia. Questa attribuzione però non è da considerarsi effettivamente attendibile.

L’immagine a sinistra mostra il Menu del Market suddiviso nelle seguenti sezioni:

CVV / DUMPS
- dati e informazioni su Carte di credito;
RDP
- accessi tramite protocollo RDP a server compromessi;
Stealer Logs
- accessi a workstation compromesse e tutti i dati contenuti (password, cookie, file);
PayPal
- Accessi User/Password a conti Paypal;

Strumenti vari.

La schermata di Login:

Stealer Logs

Uno degli aspetti più interessanti è rappresentato dall’area in cui viene effettuata la compravendita di sistemi compromessi. La lista rappresenta sistemi (tipicamente Workstation) colpite da Malware. L’eventuale acquirente potrebbe accedere ai dati trafugati sulla singola macchina, alle password salvate dall’utente e ai Cookie di sessione.
Nel menu a tendina, la lista dei Malware utilizzati per la compromissione. La lista dei sistemi compromessi per Country è associato ad un certo numero di informazioni, come la lista dei siti a cui l’utente è registrato (Cookie di sessione e Password) e il prezzo.

Prezzo medio di circa 10$ a postazione. L’acquisto permette di ottenere oltre le informazioni già trafugate, anche accesso remoto al sistema per l’avvio di attacchi mirati.

RDP

Nell’ambito degli accessi abusivi a sistemi compromessi, l’area dedicata al “RDP” contiene la lista di sistemi perimetrali compromessi a cui i criminali ne rivendono gli accessi (fornendo Username e Password RDP).

I prezzi variano in base alla tipologia del sistema e all’hardware di cui è dotata la macchina.

DUMP e CVV

In queste aree del Black Market è possibile acquistare informazioni e codici (CVV) delle carte di credito. Queste sono ottenute dai criminali tramite:

compromissione di Workstation (risultato Stealer Logs);
compromissione sito Web/E-Commerce

Cookie	Duration	Description
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

I Black Market: Come sono organizzati e quali dati contengono

I Black Market: Come sono organizzati e quali dati contengono

Stealer Logs

RDP

DUMP e CVV

Related articles

Espionage activities targeting European businesses

Nebula Broker: offensive operations made in Italy

The Rising Threat of QR Code-Enabled Phishing Emails: Quishing

I Black Market: Come sono organizzati e quali dati contengono

I Black Market: Come sono organizzati e quali dati contengono

Stealer Logs

RDP

DUMP e CVV

Related articles

Espionage activities targeting European businesses

Nebula Broker: offensive operations made in Italy

The Rising Threat of QR Code-Enabled Phishing Emails: Quishing

Cookie & Privacy