У мережі виявлено шкідливе програмне забезпечення, яке розповсюджується під виглядом зламаного корисного софту і краде дані облікових записів з браузера. Про це повідомляють експерти з кібербезпеки.
Аналітична компанія AhnLab ASEC виявила безліч випадків застосування щодо нової шкоди під назвою RedLine Stealer. Його головна мета – вкрасти збережені паролі із браузера. Вразливими є браузери на базі двигуна Chromium – тобто, власне, Google Chrome, а також “Яндекс.Браузер”, Microsoft Edge, Brave, Vivaldi та Opera. Крім цього, шкідливість може красти дані і з браузера Firefox (і його модифікаціях), який працює на двигуні Gecko.
Браузер Apple Safari, який є штатним на macOS і iOS/iPadOS, не схильний до цієї атаки, тому що працює на власному движку від Apple. До речі, iOS-версії браузерів, перерахованих вище, теж відносно безпечні, оскільки вони використовують двигун Safari в рамках обмежень Apple на мобільних пристроях.
Як працює RedLine Stealer? Справа в тому, що у більшості сучасних браузерів за замовчуванням включено функцію збереження логінів та паролів при авторизації на сайтах. Це зроблено для зручності користувача – йому не доведеться логінуватися при кожному відвідуванні якогось ресурсу. Дані облікових записів браузер зберігає у файлі бази даних SQLite, який при цьому зашифрований. Саме цей файл і краде шкідливість.
Але як він отримує доступ до вмісту бази? Система влаштована таким чином, що RedLine може імітувати браузерний запит файлу, зробивши його від імені користувача. В результаті RedLine Stealer отримує весь вміст файлу і може робити з ним все, що завгодно. Далі все просто – троян відправляє ваші дані на сервер, де зловмисники застосовують їх для «викрадення» ваших облікових записів.
До речі, навіть якщо на етапі авторизації на сайті знімаєте галочку «Запам’ятати цей пристрій», в той же файл SQLite потрапляє запис про це – тобто, шкідливість розуміє, що на цьому сайті у вас теж є обліковий запис, і зловмисники можуть підібрати пароль навіть там, де ви його не зберігали, скориставшись вашими вкраденими даними від інших ресурсів.
Як захиститись від RedLine Stealer? По-перше, не використовувати зламане ПЗ – цей троян поширюється в мережі якраз під виглядом корисних піратських додатків. По-друге, повністю відключити збереження паролів у вразливих браузерах. По-третє, створювати унікальні паролі для кожного ресурсу.
Якийсь час тому ця утиліта пропонувалася до продажу на тіньовому форумі за $150-200. Незабаром після цього там же було виявлено у продажу кілька баз даних, які виявились з її допомогою.