Российский след. Сохраненные в браузере пароли оказались под угрозой из-за программы Redline

30 декабря 2021, 10:05
Программа похищает зашифрованные данные (Фото:Redline Stealer)

Программа похищает зашифрованные данные (Фото:Redline Stealer)

Специалисты из компании AhnLab ASEC сообщили о проблеме, связанной с распространенным использованием функции автоматического входа в систему в браузерах.

Вредоносное ПО для кражи информации под названием Redline извлекает данные пользователей из браузеров на базе Chromium, например, Google Chrome, Microsoft Edge и Opera для Windows.

Программу разработал предположительно русскоговорящий пользователь, известный на теневых форумах под ником RedGLADE, выяснили исследователи из компании AhnLab ASEC.

Видео дня

В примере, представленном аналитиками компании, некий сотрудник потерял учетные данные VPN-аккаунта. Пользователи RedLine использовали эту информацию для взлома сети компании три месяца спустя.

Несмотря на то, что на зараженном компьютере было установлено решение для защиты от вредоносных программ, оно не смогло обнаружить и удалить RedLine. Еще один недавний случай распространения RedLine — это кампания по рассылке спама через контактную форму веб-сайта, в которой используются файлы Excel XLL, которые загружают и устанавливают вредоносное ПО для кражи паролей.

Вредоносная программа нацелена на файл данных входа в систему, который есть во всех веб-браузерах на основе Chromium, и представляет собой базу данных SQLite, в которой сохраняются имена пользователей и пароли.

Читайте также: В Нидерландах по запросу США задержали российского хакера

В то время как хранилища паролей браузера зашифрованы, например те, которые используются браузерами на основе Chromium, вредоносные программы для кражи информации могут программно расшифровать хранилище, если они вошли в систему как тот же пользователь. Поскольку RedLine запускается от имени инфицированного пользователя, он сможет извлекать пароли из своего профиля браузера.

«Google Chrome шифрует пароль с помощью функции CryptProtectData, встроенной в Windows. Теперь, хотя это может быть очень безопасная функция с использованием алгоритма тройного DES и создания пользовательских ключей для шифрования данных, его все еще можно расшифровать, пока поскольку вы вошли в ту же учетную запись, что и пользователь, который ее зашифровал», — объясняет автор проекта chrome_password_grabber.

Даже когда пользователи отказываются хранить свои учетные данные в браузере, система управления паролями все равно будет добавлять запись, указывающую, что конкретный сайт находится в «черном списке». Хотя злоумышленники не могут украсть пароли, занесенные в черный список, они понимают, что учетная запись существует. Это позволяет им осуществлять атаки с подстановкой учетных данных (credential stuffing) или применять социальную инженерию.

После кражи учетных данных злоумышленники либо используют их в дальнейших атаках, либо пытаются продать на торговых площадках в даркнете. Примером того, насколько популярной среди хакеров стала RedLine, является рост подпольного рынка 2easy, где половина всех проданных данных была украдена с помощью этого вредоносного ПО.

Ранее НВ писал, что найденная совсем недавно уязвимость в распространенной библиотеке Log4j для Java поставила под угрозу безопасность крупнейших сервисов и приложений.

Разработчики признают, что уязвимость может стать одним из самых разрушительных инцидентов в области кибербезопасности за последнее время.

24 ноября в 14:51 участники проекта по разработке ПО с открытым исходным кодом получили тревожное электронное письмо. Содержимое письма угрожало спровоцировать массовые кибератаки по всему миру.

«Я хочу сообщить об ошибке безопасности», — написал Чен Чжаоцзюнь, сотрудник группы облачной безопасности Alibaba Group Holding Ltd., добавив, что «уязвимость оказывает серьезное воздействие».

Читайте также: Как защититься в соцсетях от атак киберпреступников, — эксперт

Читайте также: Хакеры разослали более 100 тысяч писем с почты ФБР

Показать ещё новости
Радіо НВ
X