В компании AhnLab ASEC заявили о том, что существует проблема с распространенным использованием функции автоматического входа в систему в браузерах.
Вредоносное ПО для кражи информации под названием Redline извлекает данные пользователей из браузеров на базе Chromium, например, Google Chrome, Microsoft Edge и Opera для Windows.
Программу разработал предположительно русскоговорящий пользователь, известный на теневых форумах под ником RedGLADE, выяснили исследователи из компании AhnLab ASEC.
В примере, представленном аналитиками компании, некий сотрудник потерял учетные данные VPN-аккаунта. Пользователи RedLine использовали эту информацию для взлома сети компании три месяца спустя.
Несмотря на то, что на зараженном компьютере было установлено решение для защиты от вредоносных программ, оно не смогло обнаружить и удалить RedLine. Еще один недавний случай распространения RedLine — это кампания по рассылке спама через контактную форму веб-сайта, в которой используются файлы Excel XLL, которые загружают и устанавливают вредоносное ПО для кражи паролей.
Вредоносная программа нацелена на файл данных входа в систему, который есть во всех веб-браузерах на основе Chromium, и представляет собой базу данных SQLite, в которой сохраняются имена пользователей и пароли.
В то время как хранилища паролей браузера зашифрованы, например те, которые используются браузерами на основе Chromium, вредоносные программы для кражи информации могут программно расшифровать хранилище, если они вошли в систему как тот же пользователь. Поскольку RedLine запускается от имени инфицированного пользователя, он сможет извлекать пароли из своего профиля браузера.
«Google Chrome шифрует пароль с помощью функции CryptProtectData, встроенной в Windows. Теперь, хотя это может быть очень безопасная функция с использованием алгоритма тройного DES и создания пользовательских ключей для шифрования данных, его все еще можно расшифровать, пока поскольку вы вошли в ту же учетную запись, что и пользователь, который ее зашифровал», — объясняет автор проекта chrome_password_grabber.
Даже когда пользователи отказываются хранить свои учетные данные в браузере, система управления паролями все равно будет добавлять запись, указывающую, что конкретный сайт находится в «черном списке». Хотя злоумышленники не могут украсть пароли, занесенные в черный список, они понимают, что учетная запись существует. Это позволяет им осуществлять атаки с подстановкой учетных данных (credential stuffing) или применять социальную инженерию.
После кражи учетных данных злоумышленники либо используют их в дальнейших атаках, либо пытаются продать на торговых площадках в даркнете. Примером того, насколько популярной среди хакеров стала RedLine, является рост подпольного рынка 2easy, где половина всех проданных данных была украдена с помощью этого вредоносного ПО.
Источник: НВ