Redline Stealer惡意軟件:竊取瀏覽器中存儲的用戶憑證
在調查某公司最近發生的內部數據洩露事件時,AhnLab ASEC分析小組確認用於訪問公司網絡的VPN 賬戶是從某位在家工作的員工的電腦上洩露的。發生損失的公司為在家工作的員工提供VPN 服務,讓他們訪問公司的內部網絡,員工用提供的筆記本電腦或他們的PC 通過VPN 連接到公司內部網絡。
目標員工利用網絡瀏覽器提供的密碼管理功能,在網絡瀏覽器上保存並使用VPN 網站的賬號和密碼。在這樣做的時候,個人電腦被感染了針對賬戶憑證的惡意軟件,洩露了各個網站的賬戶和密碼,其中也包括公司的VPN 賬戶。三個月後,被洩露的VPN 賬戶被用來入侵該公司的內部網絡。
為了方便用戶,網絡瀏覽器會儲存用戶訪問網站時輸入的賬戶和密碼,並提供再次訪問時自動輸入的功能。在基於Chromium 的網絡瀏覽器(Edge、Chrome)上,密碼管理功能是默認啟用的。登錄時輸入的信息會通過密碼管理功能保存到登錄數據文件中。
網絡瀏覽器文件路徑
Chrome C:Users<用戶名>AppDataLocalGoogleChromeUser DataDefaultLogin Data
Edge C:Users<用戶名>AppDataLocalMicrosoftEdgeUserDefaultLogin 數據
Opera C:Users<用戶名>AppDataRoamingOpera SoftwareOpera StableLogin Data
Whale C:Users<用戶名>AppDataLocalNaverNaver WhaleUser DataDefaultLogin Data
登錄數據是一個SQLite數據庫文件,賬戶和密碼信息被保存在logins表中。除了賬戶和密碼之外,保存的時間、登錄網站的URL以及訪問次數也被保存在logins表中。如果用戶拒絕保存某個網站的賬號和密碼信息,為了記住這一點,blacklisted_by_user 字段將被設置為1,用戶名_value和密碼_value字段將沒有賬號和密碼,只有origin_url 信息被保存到logins 表中。
發現目標員工的電腦是全家人在家裡使用的,沒有得到安全管理。它很早以前就已經感染了各種惡意軟件,雖然安裝了另一家公司的反惡意軟件程序,但它未能正確檢測和修復。
在被感染的惡意軟件中,有一個叫Redline Stealer 的惡意軟件。Redline Stealer 是一種收集保存在網絡瀏覽器中的賬戶憑證的信息竊取者,它於2020 年3 月首次出現在俄羅斯暗網上。一個名為REDGlade 的用戶上傳了一個宣傳帖子,解釋了Redline Stealer 包含的各種功能,並以150-200 美元的價格出售該黑客工具。
由於Redline Stealer 在暗網上被不加區分地賣給了不特定的人,因此很難將惡意軟件的開發者與攻擊者直接聯繫起來。除了惡意軟件,使用Redline Stealer 洩露的憑證也在暗網中被出售。
在這個案例中,Redline Stealer 被偽裝成Soundshifter 的破解程序在網上傳播,Soundshifter 是Waves 公司的一個音調轉換程序。用戶輸入帶有破解、免費等字樣的軟件名稱來搜索文件,下載並運行下載的文件,從而導致了惡意文件的感染。