Фахівці AhnLab ASEC повідомили про проблему, пов'язану з поширенням використання функції автоматичного входу до системи у браузерах. Як повідомляє «НВ», зловмисники створили шкідливу програму під назвою Redline.
Вона отримує дані користувачів з браузерів на основі Chromium. До них відносяться Google Chrome, Microsoft Edge та Opera для Windows.
За даними дослідників компанії AhnLab ASEC, програму розробив російськомовний користувач, відомий під ніком RedGLADE. У прикладі, представленому аналітиками компанії, співробітник втратив облікові дані VPN-акаунту. Користувачі RedLine використовували цю інформацію для зламування мережі компанії через три місяці.
На зараженому комп'ютері було встановлено рішення для захисту від шкідливих програм, але воно не змогло виявити Redline. Ще один нещодавній випадок розповсюдження RedLine – це розсилка спаму через контактну форму веб-сайту, в якій використовуються файли Excel XLL, які завантажують і встановлюють шкідливе програмне забезпечення для крадіжки паролів.
Програма націлена на файл для входу в систему, який є у всіх браузерах на основі Chromium, і є базою даних SQLite, де зберігаються імена користувачів і паролі.
Сховища паролів браузера зашифровані, програми для крадіжки інформації можуть розшифровувати сховище, якщо вони увійшли як той самий користувач. Оскільки RedLine запускається від імені інфікованого користувача, він зможе виймати паролі зі свого профілю браузера.
«Google Chrome шифрує пароль за допомогою CryptProtectData, вбудованої у Windows. Тепер, хоча це може бути дуже безпечна функція з використанням алгоритму потрійного DES та створення ключів для шифрування даних, його все ще можна розшифрувати, поки ви увійшли до того самого облікового запису, що і користувач, який зашифрував його», — пояснює автор проекту chrome_password_grabber.
Після крадіжки облікових даних, зловмисники або використовують їх для подальших атак або продають на чорному ринку. Прикладом того, наскільки популярною серед хакерів стала RedLine, є зростання підпільного ринку 2easy, де половина всіх проданих даних було вкрадено за допомогою цього шкідливого ПЗ.
Підписуйтесь на наш Telegram-канал з новинами технологій та культури.
Раніше користувач GitHub під ніком Widevinedump опублікував програмне забезпечення для безкоштовного завантаження контенту з найбільших світових відеосервісів. Зазначається, що завантажити фільми можна, зокрема, з Netflix, Disney+, Apple TV+, Amazon Prime Video, HBO Max та Paramount+.