Um novo relatório publicado pela AhnLab ASEC, organização sul-coreana com foco em cibersegurança, detalha como o malware conhecido como RedLine se aproveita de senhas salvas em navegadores para roubar informações.
Browsers populares, como Chrome, Edge e Opera são os alvos principais, sendo que uma das preocupações em relação ao malware é a facilidade com que ele pode ser obtido e utilizado para acessar dados sensíveis.
Atualmente, o RedLine está disponível por cerca de US$ 200 em fóruns de crimes cibernéticos e não exige muitos conhecimentos técnicos ou esforços para ser implementado.
Segundo a AhnLab ASEC, ele representa um risco ainda maior para indivíduos e organizações ao se aproveitar de senhas salvas em navegadores, visto que a prática tornou-se comum devido à conveniência que ela oferece.
Conveniência e cibersegurança
Na publicação em seu blog, a organização de cibersegurança explica que sua equipe de analistas estava investigando um incidente de vazamento de dados na rede interna de uma empresa quando descobriu que a conta VPN utilizada para acessar a rede foi vazada do computador de um funcionário que estava trabalhando de casa.
A companhia em questão fornecia serviços VPN para os funcionários que estavam em home office para que eles pudessem acessar a rede interna da empresa. O funcionário que foi alvo do ataque utilizou o recurso de gerenciamento de senhas de seu navegador para armazenar as credenciais do site VPN.
A partir disso, os hackers conseguiram infectar o computador com o malware para roubar credenciais e vazar senhas e informações de vários sites, incluindo a conta VPN da empresa, que foi utilizada para invadir a rede interna da companhia três meses depois.
A prática de armazenar dados de acesso em navegadores da internet tornou-se comum devido à conveniência que ela oferece ao reduzir a necessidade de memorizar as combinações para cada site. Em browsers baseados no Chromium, como é o caso do Edge e do Chrome, esse recurso já está definido como padrão, inclusive.
Vendas na dark web
As informações fornecidas durante o processo de autenticação são armazenadas no arquivo Login Data, que é um banco de dados SQLite. A tabela com as senhas inclui ainda informações como o horário em que uma credencial foi salva, a URL do site para realizar o login e o número de vezes que ele foi acessado.
A AhnLab ASEC explica que caso o usuário tenha optado por não armazenar as credenciais de um site, o campo da tabela designado “blacklisted_by_user” será definido com o valor “1”, enquanto que os campos “username_value” e “password_value” não serão preenchidos. A única informação disponível na tabela será a URL do site.
As investigações revelaram que o computador era utilizado por toda a família do funcionário vítima do ataque, sem os cuidados de segurança necessários. Além do RedLine, a máquina já estava infectada com diversos malwares há muito tempo e, apesar de contar com um programa anti-malware instalado, ele não foi capaz de detectar as ameaças e eliminá-las.
A primeira vez que o RedLine foi descoberto foi na dark web russa em março de 2020. Um usuário com o nome REDGlade fez uma publicação explicando os recursos do RedLine e oferecendo a ferramenta por cerca de US$ 150 a US$ 200.
Considerando que as vendas foram realizadas na dark web, é difícil associar o desenvolvedor da ferramenta de hackeamento ao responsável pelo ataque recente. Além do malware em si, as credenciais obtidas utilizando o RedLine também estavam sendo comercializadas na dark web.
