В сети обнаружено вредоносное ПО, которое распространяется под видом взломанного полезного софта и ворует данные аккаунтов из браузера. Об этом сообщают эксперты по кибербезопасности.
Аналитическая компания AhnLab ASEC обнаружила множество случаев применения относительно нового вредоноса под названием RedLine Stealer. Его главная цель — украсть сохраненные пароли из браузера. Уязвимыми являются браузеры на базе движка Chromium — то есть, собственно, Google Chrome, а также «Яндекс.Браузер», Microsoft Edge, Brave, Vivaldi и Opera. Помимо этого, вредонос умеет воровать данные и из браузера Firefox (и его модификациях), который работает на движке Gecko.
Браузер Apple Safari, который является штатным на macOS и iOS/iPadOS, не подвержен этой атаке, так как работает на собственном движке от Apple. К слову, iOS-версии браузеров, перечисленных выше, тоже относительно безопасны, так как они используют движок Safari в рамках ограничений Apple на мобильных устройствах.
Как работает RedLine Stealer? Дело в том, что в большинстве современных браузеров по умолчанию включена функция сохранения логинов и паролей при авторизации на сайтах. Это сделано для удобства пользователя — ему не придется логиниться при каждом посещении какого-то ресурса. Данные аккаунтов браузер хранит в файле базы данных SQLite, который при этом зашифрован. Именно этот файл и крадет вредонос.
Но как он получает доступ к содержимому базы? Система устроена таким образом, что RedLine может имитировать браузерный запрос к файлу, сделав его от имени пользователя. В результате RedLine Stealer получает всё содержимое файла и может делать с ним всё что угодно. Далее всё просто — троян отправляет ваши данные на сервер, где злоумышленники применяют их для «угона» ваших аккаунтов.
К слову, даже если на этапе авторизации на сайте снимаете галочку «Запомнить это устройство», в тот же самый файл SQLite попадает запись об этом — то есть, вредонос понимает, что на этом сайте у вас тоже есть аккаунт, и злоумышленники могут подобрать пароль даже там, где вы его не сохраняли, воспользовавшись вашими же украденными данными от других ресурсов.
Как защититься от RedLine Stealer? Во-первых, не использовать взломанное ПО — этот троян распространяется в сети как раз под видом полезных пиратских приложений. Во-вторых, полностью отключить сохранение паролей в уязвимых браузерах. В-третьих, создавать уникальные пароли для каждого ресурса.
Какое-то время назад эта утилита предлагалась к продаже на теневом форуме за $150-200. Вскоре после этого там же были обнаружены в продаже несколько баз данных, которые оказались добыты с ее помощью.
Ранее мы рассказали, что RedLine Stealer умеет обходить даже двухфакторную идентификацию.
