Російський слід. Збережені в браузері паролі опинилися під загрозою через програму Redline

30 грудня 2021, 10:05
Програма викрадає зашифровані дані (Фото:Redline Stealer)

Програма викрадає зашифровані дані (Фото:Redline Stealer)

Фахівці компанії AhnLab ASEC повідомили про проблему, пов’язану з поширеним використанням функції автоматичного входу в систему в браузерах.

Шкідливе програмне забезпечення для крадіжки інформації під назвою Redline витягує дані користувачів з браузерів на базі Chromium, наприклад, Google Chrome, Microsoft Edge та Opera для Windows.

Відео дня

Програму розробив імовірно російськомовний користувач, відомий на тіньових форумах під ніком RedGLADE, з’ясували дослідники компанії AhnLab ASEC.

У прикладі, представленому аналітиками компанії, співробітник втратив облікові дані VPN-акаунта. Користувачі RedLine використовували цю інформацію для зламування мережі компанії через три місяці.

Незважаючи на те, що на зараженому комп’ютері було встановлено рішення захисту від шкідливих програм, воно не змогло виявити і видалити RedLine. Ще один нещодавній випадок розповсюдження RedLine — це кампанія розсилки спаму через контактну форму веб-сайту, в якій використовуються файли Excel XLL, які завантажують і встановлюють шкідливе ПЗ для крадіжки паролів.

Шкідлива програма націлена на файл даних входу в систему, який є у всіх веб-браузерах на основі Chromium, і є базою даних SQLite, в якій зберігаються імена користувачів та паролі.

Читайте також: У Нідерландах за запитом США затримали російського хакера

У той час як сховища паролів браузера зашифровані, наприклад, ті, що використовуються браузерами на основі Chromium, шкідливі програми для крадіжки інформації можуть програмно розшифрувати сховище, якщо вони увійшли до системи як той самий користувач. Оскільки RedLine запускається від імені інфікованого користувача, він зможе виймати паролі зі свого профілю браузера.

«Google Chrome шифрує пароль за допомогою функції CryptProtectData, вбудованої в Windows. Тепер, хоча це може бути дуже безпечна функція з використанням алгоритму потрійного DES і створення ключів для шифрування даних, його все ще можна розшифрувати, поки оскільки ви увійшли в той самий обліковий запис, що й користувач, який його зашифрував», — пояснює автор проекту chrome_password_grabber.

Навіть коли користувачі відмовляються зберігати свої облікові дані в браузері, система управління паролями все одно додаватиме запис, який вказує, що конкретний сайт знаходиться в «чорному списку». Хоча зловмисники не можуть вкрасти паролі, занесені до чорного списку, вони розуміють, що обліковий запис існує. Це дозволяє їм здійснювати атаки з підстановкою облікових даних (credential stuffing) або застосовувати соціальну інженерію.

Після крадіжки облікових даних зловмисники або використовують їх у подальших атаках, або намагаються продати на торгових майданчиках у даркнеті. Прикладом того, наскільки популярною серед хакерів стала RedLine є зростання підпільного ринку 2easy, де половина всіх проданих даних була вкрадена за допомогою цього шкідливого ПЗ.

Раніше НВ писав, що знайдена зовсім недавно вразливість у поширеній бібліотеці Log4j для Java поставила під загрозу безпеку найбільших сервісів і додатків.

Розробники визнають, що вразливість може стати одним із найруйнівніших інцидентів у галузі кібербезпеки останнім часом.

24 листопада о 14:51 учасники проєкту з розробки програмного забезпечення з відкритим вихідним кодом отримали тривожний електронний лист. Уміст листа загрожував спровокувати масові кібератаки по всьому світу.

«Я хочу повідомити про помилку безпеки», — написав Чен Чжаоцзюнь, співробітник групи хмарної безпеки Alibaba Group Holding Ltd., додавши, що «вразливість має серйозний уплив».

Читайте також: Як захиститися в соцмережах від атак кіберзлочинців, — експерт

Читайте також: Хакери надіслали понад 100 тисяч листів з пошти ФБР

Показати ще новини
Радіо НВ
X