Redline 為瀏覽器密碼管理敲響警鐘
近日,肆虐全球的 RedLine 信息竊取惡意軟件以 Chrome 、 Edge 和 Opera 等流行網絡瀏覽器為目標實施攻擊活動,再次證明了將密碼存儲在瀏覽器中存在安全隱患。
這種惡意軟件是一種商業化信息竊取程序,其目標是在所有基于 Chromium 的網絡瀏覽器上找到的“登錄數據”文件,并保存用戶名和密碼。目前該程序在網絡犯罪論壇上以大約 200 美元的價格出售,無需太多專業技能即可部署利用。攻擊者在使用它實施攻擊活動后,即使受感染的計算機安裝了反惡意軟件解決方案,也難以檢測和刪除 RedLine Stealer 。
圖1 存儲在數據庫文件中的憑據(來源:ASEC)
現在 RedLine 已被大量利用,這背后的主要原因是它有效地利用了現代 Web 瀏覽器難以解決廣泛可用的安全漏洞。雖然瀏覽器密碼存儲是加密的,例如基于 Chromium 的瀏覽器使用了密碼存儲,但只要它們以同一用戶身份登錄,信息竊取惡意軟件就可以通過編程方式解密存儲。由于 RedLine 以被感染的用戶身份運行,因此它能夠從其瀏覽器配置文件中提取密碼。
研究發現,即使用戶拒絕將其憑據存儲在瀏覽器上,密碼管理系統仍會添加一個條目以表明特定網站已被“列入黑名單”。雖然攻擊者可能沒有這個“列入黑名單”的帳戶密碼,但它確實告訴了他們該帳戶存在,允許他們執行憑證填充或社會工程/網絡釣魚攻擊。在收集到被盜憑證后,攻擊者要么將其用于進一步的攻擊,要么試圖通過在暗網市場上出售它們來獲利。
研究人員建議,最好使用專用密碼管理器將所有內容存儲在加密的保險庫中并設置主密碼解鎖;應該為敏感網站(例如電子銀行門戶網站或企業資產網頁)配置特定規則,這些網站需要手動輸入憑據;最后,在任何可用的情況下激活多因素身份驗證,這樣即使用戶憑據已被盜用,此附加步驟也可以使其免于帳戶接管事件。
參考鏈接:https://asec.ahnlab.com/en/29885/
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
