Il malware per il furto di informazioni RedLine prende di mira i browser Web più diffusi come Chrome, Edge e Opera, dimostrando perché la memorizzazione delle password nei browser è una cattiva idea.
Questo malware è un ladro di informazioni di base che può essere acquistato per circa $ 200 sui forum di criminalità informatica e distribuito senza richiedere molta conoscenza o sforzo.
Tuttavia, un nuovo rapporto di AhnLab ASEC avverte che la comodità di utilizzare la funzione di accesso automatico sui browser Web sta diventando un problema di sicurezza sostanziale che colpisce sia le organizzazioni che gli individui.
In un esempio presentato dagli analisti, un dipendente remoto ha perso le credenziali dell’account VPN per gli attori di RedLine Stealer che hanno utilizzato le informazioni per hackerare la rete dell’azienda tre mesi dopo.
Anche se il computer infetto aveva una soluzione anti-malware installata, non è riuscito a rilevare e rimuovere RedLine Stealer.
Il malware prende di mira il file “Dati di accesso” che si trova su tutti i browser Web basati su Chromium ed è un database SQLite in cui vengono salvati nomi utente e password.
Fonte: ASEC
Anche quando gli utenti si rifiutano di memorizzare le proprie credenziali nel browser, il sistema di gestione delle password aggiungerà comunque una voce per indicare che il sito Web specifico è “nella lista nera”.
Sebbene l’autore della minaccia potrebbe non avere le password per questo account “nella lista nera”, gli dice che l’account esiste, consentendo loro di eseguire il riempimento delle credenziali o attacchi di ingegneria sociale/phishing.
Fonte: ASEC
Dopo aver raccolto le credenziali rubate, gli autori delle minacce le utilizzano in ulteriori attacchi o tentano di monetizzarle vendendole sui mercati del dark web.
Un esempio di quanto sia diventato popolare RedLine per gli hacker è l’ascesa del mercato del dark web “2easy” , in cui metà di tutti i dati venduti venduti sono stati rubati utilizzando questo malware.
Un altro caso recente di distribuzione RedLine è una campagna di spamming dei moduli di contatto del sito Web che utilizza file XLL di Excel che scaricano e installano il malware che ruba la password.
È come se RedLine fosse ovunque in questo momento e la ragione principale alla base di ciò è la sua efficacia nello sfruttare una lacuna di sicurezza ampiamente disponibile che i moderni browser Web si rifiutano di affrontare.
Cosa fare invece
L’utilizzo del browser Web per memorizzare le credenziali di accesso è allettante e conveniente, ma farlo è rischioso anche senza infezioni da malware.
In tal modo, un attore locale o remoto con accesso alla tua macchina potrebbe rubare tutte le tue password in pochi minuti.
Invece, sarebbe meglio utilizzare un gestore di password dedicato che archivia tutto in un deposito crittografato e richiede la password principale per sbloccarlo.
Inoltre, è necessario configurare regole specifiche per siti Web sensibili come portali di e-banking o pagine Web di risorse aziendali, che richiedono l’inserimento manuale delle credenziali.
Infine, attiva l’autenticazione a più fattori ovunque sia disponibile, poiché questo passaggio aggiuntivo può salvarti da incidenti di acquisizione dell’account anche se le tue credenziali sono state compromesse.