安全|Redline Stealer恶意软件:窃取浏览器中存储的用户凭证
在调查某公司最近发生的内部数据泄露事件时,AhnLab ASEC 分析小组确认用于访问公司网络的 VPN 账户是从某位在家工作的员工的电脑上泄露的 。发生损失的公司为在家工作的员工提供 VPN 服务,让他们访问公司的内部网络,员工用提供的笔记本电脑或他们的 PC 通过 VPN 连接到公司内部网络 。
文章图片
目标员工利用网络浏览器提供的密码管理功能,在网络浏览器上保存并使用 VPN 网站的账号和密码 。在这样做的时候,个人电脑被感染了针对账户凭证的恶意软件,泄露了各个网站的账户和密码,其中也包括公司的 VPN 账户 。三个月后,被泄露的 VPN 账户被用来入侵该公司的内部网络 。
文章图片
为了方便用户,网络浏览器会储存用户访问网站时输入的账户和密码,并提供再次访问时自动输入的功能 。在基于 Chromium 的网络浏览器(Edge、Chrome)上,密码管理功能是默认启用的 。登录时输入的信息会通过密码管理功能保存到登录数据文件中 。
网络浏览器文件路径
Chrome C:\Users\<User name>\AppData\Local\Google\Chrome\User Data\Default\Login Data
Edge C:\Users\<User name>\AppData\Local\MicrosoftEdge\User\Default\Login Data
Opera C:\Users\<User name>\AppData\Roaming\Opera Software\Opera Stable\Login Data
Whale C:\Users\<User name>\AppData\Local\Naver\Naver Whale\User Data\Default\Login Data
登录数据是一个SQLite数据库文件,账户和密码信息被保存在logins表中 。除了账户和密码之外,保存的时间、登录网站的URL以及访问次数也被保存在logins表中 。如果用户拒绝保存某个网站的账号和密码信息,为了记住这一点,blacklisted_by_user 字段将被设置为1,用户名_value和密码_value字段将没有账号和密码,只有 origin_url 信息被保存到 logins 表中 。
文章图片
发现目标员工的电脑是全家人在家里使用的,没有得到安全管理 。它很早以前就已经感染了各种恶意软件,虽然安装了另一家公司的反恶意软件程序,但它未能正确检测和修复 。
在被感染的恶意软件中,有一个叫 Redline Stealer 的恶意软件 。Redline Stealer 是一种收集保存在网络浏览器中的账户凭证的信息窃取者,它于 2020 年 3 月首次出现在俄罗斯暗网上 。一个名为 REDGlade 的用户上传了一个宣传帖子,解释了 Redline Stealer 包含的各种功能,并以 150-200 美元的价格出售该黑客工具 。
推荐阅读
- 安全|温州一超市遭“比特币勒索病毒”攻击,储值系统瘫痪
- 架构|一“融”解千愁,SASE因何成为未来网络安全的新范式?
- 安全|杀毒软件诺顿360自带挖矿功能被批 厦门大学示警:慎重使用
- 安全|黑客组织Patchwork感染自己开发的恶意程序 导致内部系统被曝光
- mp|【邀请函】网络安全渗透测试培训课程等你来!
- Apple|新专利或将助苹果零售店通过新安全措施来阻止抢劫行为的发生
- 功能|微软发布 Win11 KB5009566 累积更新:修复多项安全问题
- 新浪数码|为了让零售店更安全 苹果研发展示品防盗抢专利
- 安全|Check Point安全报告显示去年企业受到的总体网络攻击量有明显增加
- 安全|新研究证明可媲美经典LDPC码的渐进良好量子局部可试纠错方法