据安全分析团队AhnLab ASEC报告,黑客论坛售价$200美元的恶意软件Redline Stealer可以傻瓜式的部署方式,轻松窃取Chrome、Edge 和 Opera等主流浏览器的储存密码。该报告警告说,在 Web 浏览器上使用自动登录功能的便利性正在成为影响组织和个人的重大安全问题。
在分析师提供的一个示例中,一名远程员工丢失了 RedLine Stealer 参与者的 VPN 帐户凭据,后者在三个月后使用该信息入侵了公司的网络。
即使受感染的计算机安装了反恶意软件解决方案,它也无法检测和删除 RedLine Stealer。
该恶意软件的目标是在所有基于 Chromium 的网络浏览器上找到的“登录数据”文件,它是一个保存用户名和密码的 SQLite 数据库。
存储在数据库文件中的凭据
虽然浏览器密码存储是加密的,例如基于 Chromium 的浏览器使用的密码存储,但只要它们以同一用户身份登录,信息窃取恶意软件就可以通过编程方式解密存储。由于 RedLine 以被感染的用户身份运行,因此它能够从他们的浏览器配置文件中提取密码。
“谷歌浏览器在 Windows 内置的 CryptProtectData 功能的帮助下加密密码。现在,虽然这可以是一个非常安全的功能,使用三重 DES 算法并创建用户特定的密钥来加密数据,但它仍然可以被解密因为您登录到与加密它的用户相同的帐户,”’ chrome_password_grabber ‘ 项目的作者解释说。
“CryptProtectData 函数有一个双胞胎,与它相反;CryptUnprotectData,它……你猜对了,解密数据。显然这在尝试解密存储的密码时非常有用。”
即使用户拒绝将其凭据存储在浏览器上,密码管理系统仍会添加一个条目以表明特定网站已被“列入黑名单”。
虽然攻击者可能没有这个“列入黑名单”的帐户的密码,但它确实告诉他们该帐户存在,允许他们执行凭证填充或社会工程/网络钓鱼攻击。
在收集到被盗凭证后,攻击者要么将其用于进一步的攻击,要么试图通过在暗网市场上出售它们来获利。
使用 Web 浏览器存储登录凭据既诱人又方便,但即使没有感染恶意软件,这样做也有风险。通过这样做,可以访问您机器的本地或远程参与者可以在几分钟内窃取您的所有密码。相反,最好使用专用密码管理器将所有内容存储在加密的保险库中并请求主密码解锁。此外,您应该为敏感网站(例如电子银行门户网站或企业资产网页)配置特定规则,这些网站需要手动输入凭据。最后,在任何可用的情况下激活多因素身份验证,因为即使您的凭据已被泄露,此附加步骤也可以使您免于帐户接管事件。
我在“无私分享”板块中有介绍几款免费开源和付费的“密码管理器”,感兴趣读者可以自行查阅,作为参考。