□ 개요
다크웹에서 로그인 자격증명이 판매되는 가장 인기 있는 시장 중 하나인 ‘Genesis Market’이 쿠키 몬스터 작전(Operation Cookie Monster)의 일환으로 법 집행 기관에 의해 압수되었다.
‘Genesis Market’은 기업 및 일반 사용자의 계정 ID를 포함한 로그인 자격증명이 거래되는 주요 다크웹 암시장 중 하나였기 때문에 이는 사이버 범죄 세계에 중대한 타격으로 작용할 것으로 보인다.
'Genesis Market' 도메인에 엑세스하면 FBI가 압수 영장을 집행했다는 내용과 함께 협력 파트너가 포함된 배너가 표시된다. 'Genesis Market'의 관리자는 아직 체포되거나 확인되지 않은 것으로 보인다.
[그림 1] 압수된 Genesis Market 도메인
□ Genesis Market
‘Genesis Market’은 2017년 말에 알파 단계에서 시작되었으며, 다양한 자격 증명을 거래하기 위한 가장 인기있는 다크웹 암시장 중 하나가 되었다.
마켓 운영자는 정보 도용 악성코드를 사용하여 합법적인 사용자를 가장할 수 있는 각종 데이터(쿠키, IP 주소, 장치 정보 등)와 로그인 정보를 수집했다. 이렇게 수집된 정보는 봇을 통해 계정 ID를 임대함으로써 수익을 창출하는데 활용되었다.
다른 자격증명 경쟁 시장과 달리, ‘Genesis Market’은 범죄자에게 IP 주소, 세션 쿠키, 운영 체제 정보 및 플러그인을 포함하여 피해자의 웹 브라우저를 가장할 수 있는 "봇" 또는 "브라우저 지문"에 대한 액세스를 제공했다. 구매자들은 이러한 정보를 활용하여 Netflix 및 Amazon과 같은 구독 플랫폼과 온라인 뱅킹 서비스에 액세스하거나 다단계 인증을 우회할 수 있었다.
또한, Genesis Security 라는 자체 개발한 브라우저와 플러그인을 제공하며 구매한 봇을 활용하기 위해 사용할 수 있도록 하였다.
[그림 2] 자체 개발한 브라우저와 플러그인 제공 (출처 : Recorded Future)
‘Genesis Market’은 다양한 서비스 목록에 대한 자격증명 액세스를 제공해 왔다. 그 중에는 Gmail, Facebook, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, Zoom 및 Ebay가 포함되어 있다.
□ 참고 자료
https://therecord.media/genesis-market-takedown-cybercrime
보안관제센터 MIR Team