Вредонос RedLine показал, почему не стоит сохранять пароли в браузерах

Специалисты из компании AhnLab ASEC сообщили о проблеме, связанной с распространенным использованием функции автоматического входа в систему в web-браузерах. Эксперты рассказали об атаках операторов вредоносного ПО для кражи информации RedLine, направленных на популярные web-браузеры, такие как Google Chrome, Microsoft Edge и Opera.

Вредоносная программа представляет собой средство для кражи информации и ее можно приобрести примерно за $200 на киберпреступных форумах. Кроме того, установка и запуск ПО не требуют от оператора особых знаний и усилий.

В примере, описанном аналитиками, учетные данные VPN-аккаунта удаленного сотрудника были похищены операторами RedLine и затем использованы для взлома сети компании три месяца спустя.

На зараженной компьютерной системе было установлено защитное решение от вредоносных программ, но оно не смогло обнаружить и удалить RedLine. Вредоносная программа нацелена на файл данных входа в систему, который есть во всех браузерах на основе Chromium. Она представляет собой базу данных SQLite, в которой сохраняются имена пользователей и пароли.

Даже когда пользователи отказываются хранить свои учетные данные в браузере, система управления паролями все равно будет добавлять запись, указывающую, что конкретный сайт находится в «черном списке». Хотя злоумышленники не могут украсть пароли, занесенные в черный список, они понимают, что учетная запись существует. Это позволяет им осуществлять атаки с подстановкой учетных данных (credential stuffing) или применять социальную инженерию.

После кражи учетных данных злоумышленники либо используют их в дальнейших атаках, либо пытаются продать на торговых площадках в даркнете. Примером того, насколько популярной среди хакеров стала RedLine, является рост подпольного рынка 2easy , где половина всех проданных данных была украдена с помощью этого вредоносного ПО.