{"id":1026,"title":"\u041f\u0440\u043e\u043a\u0430\u0447\u0430\u0439\u0442\u0435 \u043f\u0438\u0449\u0435\u0432\u0443\u044e \u0438\u043d\u0442\u0443\u0438\u0446\u0438\u044e \u0432 \u0442\u0435\u0441\u0442\u0435 \u0441 \u0448\u0438\u0444\u0440\u0430\u043c\u0438 \u0438\u0437 \u0435\u0434\u044b","url":"\/redirect?component=advertising&id=1026&url=https:\/\/tjournal.ru\/special\/kaleidofood&placeBit=1&hash=9cb013a59ccce4d2e86882e627db11b6482213ed208d150cb78cb4997d731210","isPaidAndBannersEnabled":false}

СМИ обнаружили вредоносное ПО RedLine, которое крадёт сохранённые пароли и данные банковских карт из браузеров Статьи редакции

Программу написали русскоговорящие хакеры: её, а также украденные данные, продают в даркнете и Telegram.

Логотип приложения RedLine

Стилер (так называют ПО для кражи паролей пользователей) RedLine начал массово распространяться в интернете, заметили журналисты Bleeping Computer.

Вредоносное ПО извлекает данные пользователей из браузеров на движке Chromium, например, Google Chrome, Microsoft Edge и Opera для Windows. Кроме того, RedLine крадёт данные из браузеров на движке Gecko, говорится в публичном отчёте исследователей информационной безопасности Insikt Group и в телеграм-каналах распространителей этого ПО.

Данные авторизации, сохранённые в Google Chrome ASEC

В докладе компании AhnLab ASEC RedLine называют серьёзной киберугрозой. В ASEC обнаружили программу в 2021 году, когда расследовали взлом сети неназванной компании. Выяснилось, что доступ осуществлялся через VPN-сервис с компьютера сотрудника, заражённого RedLine.

Дальнейшие эксперименты показали, что программа собирает любые чувствительные сведения, сохранённые в браузерах, а кроме того позволяет управлять компьютерами жертв через протокол удалённого доступа SOAP и гипотетически создавать из них ботнеты. Проблема затрагивает не только компании, но и обычных пользователей, сказано в исследовании.

Bleeping Computer не приводит точных сведений о количестве жертв RedLine, но отмечает, что около половины данных, которые продаются на популярном теневом маркетплейсе 2easy, добыты с помощью этого стилера. Данные, полученные при помощи RedLine, также заметили в маркетплейсах Amigos и Russian Marketplace, уточняют в Insikt Group.

Вероятно, речь идёт о массовом заражении, поскольку ПО RedLine, получившее известность весной 2020 года, плохо определяется антивирусами. По данным сервиса Any.run, в декабре RedLine стала самой популярной программой в своём классе и совершила не менее 22 тысяч атак. Разработчики браузеров за полтора года не устранили брешь безопасности, через которую хакеры получают данные, отмечается в исследовании ASEC.

Брешь, о которой пишут исследователи, скрыта в файлах базы данных SQLite: её используют все браузеры на Chromium для хранения пользовательских настроек. Например, в этих файлах хранятся данные авторизации. Стилер получает доступ к ним, сканируя известные директории на компьютерах жертв.

Директории, в которых хранятся сохранённые пароли браузеров на движке Chromium ASEC

RedLine может нанести серьёзный ущерб, даже если владелец заражённого компьютера не сохраняет пароли: в этом случае хакер может использовать для взлома средства социальной инженерии, отмечают в ASEC. Кроме того, любая полученная информация может обогащать базы данных «пробивщиков» информации, которые можно купить в даркнете.

RedLine попадает на компьютеры жертв самыми разными способами: известны случаи распространения в соцсетях и фишинговые рассылки с вложенными файлами DOC, XLS, RAR и EXE. По данным сервиса ANY.RUN вредоносное ПО загружено на домены, «маскирующиеся» под онлайн-казино. В списке опасных доменных имён редактор TJ нашёл копию сайта шоколадной фабрики имени Крупской.

Программу разработал предположительно русскоговорящий пользователь, известный на теневых форумах под ником RedGLADE, выяснили исследователи. Первые предложения о продаже программы датированы февралём 2020 года. Кроме того, RedLine можно купить в Telegram: на момент выхода статьи в мессенджере есть не менее девяти публичных каналов, где продают программу, на самый популярный из них подписаны более 21 тысячи пользователей.

Предложение купить RedLine Скриншот Insikt

RedLine распространяется в нескольких редакциях по подписной модели, сказано в телеграм-каналах продавцов этого приложения: самая простая стоит 150 долларов в месяц, а профессиональная пожизненная лицензия обойдётся в 800 долларов.

Для превентивной защиты от новой киберугрозы необходимо отказаться от сохранения чувствительных данных в браузере, использовать менеджер паролей и двухфакторную аутентификацию, отмечает Bleeping Computer.

0
122 комментария
Популярные
По порядку
Написать комментарий...
norm

Вредоносное ПО извлекает данные пользователей из браузеров на движке Chromium, например, Google Chrome, Microsoft Edge и Opera для Windows

Ответить
98
Развернуть ветку
Daniil Stryukov
Ответить
31
Развернуть ветку
Закомплексованная Душа

Да сейчас все chromium based, только Годзилла идёт своим путём

Ответить
3
Развернуть ветку
Молодой химик

Вроде речь о том, что только для Windows

И Safari не на Chromium

Ответить
23
7 комментариев
Развернуть ветку
Farid

на маках данные хрома так же хранятся, как на винде

Ответить
2
Развернуть ветку
Молодой химик

Кем надо быть интересно чтоб на маке пользоваться хромом мммм

Ответить
7
19 комментариев
Развернуть ветку
Morgan

На маке и на линуксе пароли хранятся в системных хранилищах ключей, куда доступ защищен гораздо лучше, чем в винде.

Ответить
0
1 комментарий
Развернуть ветку
Молодой химик

Проблемы виндоблядей

Ответить
32
Развернуть ветку
Молодой химик

поговори мне тут

Ответить
7
Развернуть ветку
Молодой химик

Как скажешь, Гепард

Ответить
30
Развернуть ветку
Молодой химик

Сохраненные пароли в Chrome-based давно уже шифруются мастер-паролем. В открытом виде они там не хранятся.

Содержимое кук никогда и не шифровалось, а вот сработает чужая кука на чужом компе это уже заботы не браузера. Не все куки можно использовать вне свой среды создания. Тот же Google не даст войти с другого устройства с чужой кукой, сколько ее не копируй.

Проблема в том что этот стилер висит запущенным на зараженном компе и получает данные только при условии что браузер запущен и открыт под пользователем которому эти пароли доступны, т.е. уже вводился мастер-ключ. Потом он собранную информацию уже отправляет в панель.

https://www.nirsoft.net/utils/chromepass.html - как бы делает тоже самое, только легально.

Ниче нового тут не изобрели, просто хорошо написанный стилер который слабо почему-то детектится антивирусами, хотя на тот же софт от NirSoft все поголовно орут как ненормальные.

Ответить
21
Развернуть ветку
Morgan

Сохраненные пароли в Chrome-based давно уже шифруются мастер-паролем. В открытом виде они там не хранятся
Проблема в том что этот стилер висит запущенным на зараженном компе и получает данные только при условии что браузер запущен и открыт под пользователем которому эти пароли доступны
Ну в том и проблема, что два эти момента практически нивелируют друг друга, так как в 99.9% случаев браузер запущен от имени пользователя активного сеанса. Соответственно любая другая программа, которая запускается в этом сеансе (будь она вредоносная, или нет), автоматически получает доступ к зашифрованным данным. Действительно зашифрованными они являются только до момента входа в систему.

Ответить
7
Развернуть ветку
Илья Шевелев

Как правило, RedLine попадает к жертвам, вошедшим в систему. Спасибо!

Ответить
0
Развернуть ветку
Молодой химик

Тут в комментах подсказывают, что новые версии яндекса не ломаются публичными библиотеками

https://github.com/AlessandroZ/LaZagne/blob/master/Windows/lazagne/softwares/browsers/chromium_based.py#L131

Ответить
2
Развернуть ветку
Молодой химик

Ага, ябраузер поменяли алгоритмы шифрования давненько уже вроде. Свой путь.

Ответить
3
Развернуть ветку
Твердый Орзэмэс

Комментарий удален по просьбе пользователя

Ответить
–52
Развернуть ветку
Молодой химик

Детефе в соседней вкладке

Ответить
38
Развернуть ветку
Пластиковое Окно

Орнул

Ответить
3
Развернуть ветку
Возможный историк

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
фиолетовый бобер

К чему это вообще

Ответить
15
Развернуть ветку
Леонидыч

Жоска тебя накрыло.

Ответить
15
Развернуть ветку
Молодой химик

Например, данные авторизации жертв хранятся в этих файлах в незашифрованном виде.

Автор, ну это же не правда. В статье же написано прямо:

While browser password stores are encrypted
encrypted

Другое дело, что

While browser password stores are encrypted, such as those used by Chromium-based browsers, information-stealing malware can programatically decrypt the store as long as they are logged in as the same user. As RedLine runs as the user who was infected, it will be able to extract the passwords from their browser profile.

Ответить
8
Развернуть ветку
Хто Я

данные авторизации жертв хранятся в этих файлах в незашифрованном виде

А это норм? Ну то есть почему они в незашифрованном виде? Типа забыли зашифровать? Как это вообще произошло? То есть великие погромисты такие "и так сойдет"? Или как? Или у них это никак не проверяется? В таком случае какие еще дыры могли понаделывать погромисты? Есть эксперты айтишники? Не понимаю

Ответить
5
Развернуть ветку
Молодой химик

Но ведь если поставить мастер-пароль, то данные шифруются же.

Ответить
0
Развернуть ветку
Ivan K

Если ключи там же на пк хранятся, то нет смысла шифровать.

Ответить
0
Развернуть ветку
Хто Я

А куки тоже не шифруются?

Ответить
0
Развернуть ветку
Michael Konovalov

Просто если вирус попал на компьютер, он там натворит дел. Нефиг открывать что попало.

Ответить
0
Развернуть ветку
Иван Иванов

Хорошо что у меня мозилла

Ответить
0
Развернуть ветку
Молодой химик

Пишут, что затронута

крадёт данные из браузеров на движке Gecko

Ответить
4
Развернуть ветку
Иван Иванов

Хорошо что у меня нет денег

Ответить
28
2 комментария
Развернуть ветку
Молодой химик

Судя по всему это просто форк https://github.com/AlessandroZ/LaZagne/tree/master/Windows/lazagne/softwares
который запускают после фишинга на локальной машине

ничего нового короче, хакиры по факту типикал чмоньки, компилящие всё хорошее, что сделали другие люди

Ответить
3
Развернуть ветку
Возможный историк

Комментарий удален по просьбе пользователя

Ответить
1
Развернуть ветку
Ху Эмай

А ты чем пользуешься?

Ответить
1
Развернуть ветку
Молодой химик

Netscape

Ответить
11
Развернуть ветку
Возможный историк

Комментарий удален по просьбе пользователя

Ответить
2
11 комментариев
Развернуть ветку
Молодой химик

Крадет данные сохранённые в браузере
Никогда не сохранял пароли в браузере тем более данные карт и вам советую

Ответить
2
Развернуть ветку
Хто Я

Точно так же делал, на случай когда будут такие новости, не зря, не зря...

Ответить
1
Развернуть ветку
Владимир Старик

А я мистер лох, обычно тож из недоверия не сохраняю ничего и НТФС не юзаю, но тут чёт решил расслабиться и сохранить данные в гугле

Впрочем, похуй, там всё равно нет нихуя, покупка моих данных никогда не окупится эвер

Ответить
1
Развернуть ветку
Сергей Сергеич

А где хранишь?

Ответить
0
Развернуть ветку
Посторонний

Кто пишет "не сохраняю в браузере", где вы их сохраняете, по памяти, вам на пяток сайтов только пароли нужны чтоль? И каждый раз вручную вводите логин и пароль?

Ответить
1
Развернуть ветку
Icipher

А менеджеры паролей давно отменили?

Ответить
2
Развернуть ветку
Qqshka

На листочке записывают

Ответить
1
Развернуть ветку
Посторонний

Бред, 200+ сайтов на листочке записать и каждый раз искать. Я на крайний случай в экселе записал.

Ответить
1
Развернуть ветку
Dmitry Tumashev

Менеджеры паролей придумали N лет назад. Куча на любой вкус, от кошелька до уровня доверия к разработчику.

Ответить
1
Развернуть ветку
Посторонний

https://rozetked.me/news/21138-pol-zovateli-menedzhera-paroley-lastpass-soobschili-o-nesankcionirovannom-vhode-v-akkaunty например. Их ломают пароль, нах оно мне надо, кому-то ещё доверять пароли.

Ответить
0
4 комментария
Развернуть ветку
Temir

Чё за???
В браузерах сразу лезу ищу эти галочки сохранять пароли/карты/вводимые данные - и рублю их офф к хренам

Ответить
2
Развернуть ветку
Молодой химик

Сижу, думаю, давно мыло (SOAP) является протоколом удаленного доступа?

Ответить
2
Развернуть ветку
Qqshka

Вроде и страшно, а вроде и похуй, сейчас почти везде стоит двухфакторка, ну уведут твои пароль, дальше что?

Ответить
2
Развернуть ветку
Сергей Сергеич

А на тж тоже двухфакторка?

Ответить
0
Развернуть ветку
Veres

У меня как раз фобия на сохранение данных банковских карт в браузере

Ответить
2
Развернуть ветку
Молодой химик

Вот я не пойму у чем собственно «новость»? В том что есть ГРОМАДЬЯ ПО которое что-то крадет? Или в том что к этой громадье прибавилось ещё одно ПО? 🤷🏻‍♂️
Ну а когда было так что данные из браузера нельзя было украсть? (пусть и с шифрованием на стороне клиента ключом)
Я не вдупляю в чем собственно «новость».🤣
В том что в винде лучше юзать Bitwarden или Keepass/1password (без расширений) и в идеале нормальный антивирус? (И не DefendYourData Super Protect Deluxe Premium)

Ответить
0
Развернуть ветку
Icipher

Новость в том, что чем больше новостей о вредоносном ПО в «нормисных» СМИ, хоть как-то повышающих уровень осведомлённости этих самых нормисов о подобных киберугрозах, тем лучше. Особенно с напоминаниями и толстыми намёками на то, что ошеломительно подавляющее большинство такой малвари расползается по миру с помощью самых простых и примитивных методов социальной инженерии.

8 из 10 таких эпидемий можно было бы избежать, если бы людям хоть в какой-то форме прививали правила и принципы цифровой гигиены и информационной безопасности, основополагающие принципы которых, если отбросить технический жаргон и перевести всё на всем понятный язык, понять и воплотить на практике может даже школьник (хотя, в принципе, среднестатистический школьник ловчее и сообразительнее умом среднестатистической бабы Сраки). Никакой антивирус не защитит вас от особо мерзкой zero-day херни типа WannaCry, которой с годами становится всё больше, а вот подобные простые знания и навыки — вполне себе да.

Ответить
4
Развернуть ветку
Алексей Иванов

Для любителей доверить сохранить данные паролей и карт самому браузеру да?

Ответить
1
Развернуть ветку
Молодой химик

А чё не так?

Ответить
1
Развернуть ветку
Молодой химик

как минимум, неудобно, если с одного браузера на другой переходить

Ответить
0
2 комментария
Развернуть ветку
Антон Лисин

Орт и НТВ наверное обнаружило и сообщило , как "молния"

Ответить
1
Развернуть ветку
Александр Маничев

А чё не РТР ещё?

Ответить
1
Развернуть ветку
Максим Соколовский

не зря получается не сохранял

Ответить
1
Развернуть ветку
Donnie Darko

Касательно SOAP. Вот тут более понятно недели в ссылок внутри заметки

Ответить
1
Развернуть ветку
Ales Lessy

Это смешно конечно, но Яндекс браузер — панацея от редлайна.

Ответить
1
Развернуть ветку
Сергей Сергеич

Я знал, я знал! Не зря пользуюсь им много лет уже.

Ответить
0
Развернуть ветку
Ellis Аri

В списке опасных доменных имён редактор TJ

Ответить
1
Развернуть ветку
Молодой химик

Автор, ты путаешь авторизацию и аутентификацию. Читать больно, путаница на пустом месте

Ответить
1
Развернуть ветку
Президентский торшер

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Сталин спас Россию

Да

Ответить
0
Развернуть ветку
Молодой химик

русскоговорящие хакеры

Бывает.

Ответить
0
Развернуть ветку
Сергей Сергеич

ПТУшники какие-то

Ответить
0
Развернуть ветку
Антон Кульков

СМИ обнаружили вредоносное ПО RedLine

Касперский занервничал.

Ответить
0
Развернуть ветку
Александр Кулида

Это надо какой то exe специально скачивать и запускать чтоб этот вирус проник в систему?

Ответить
0
Развернуть ветку
Имя И Фамилия
Ответить
0
Развернуть ветку
Павел Морозов

Да эта хрень давно известна. Она просто расшифровывает данные сохранённые локально на компьютере браузером.

Ответить
0
Развернуть ветку
Амфитамин крил

Как поподает данное чудо на пк жертвы? Только соц. инж. или еще каким-то методом?

Ответить
0
Развернуть ветку
Имя Фамилия

Программу написали русскоговорящие хакеры
Чеченцы что-ли?

Ответить
0
Развернуть ветку
Ильдар Вафин

Подробнее бы про то, какие антивири её детектят, а какие нет.

Ответить
0
Развернуть ветку
Iikalfsdkj Doe

Хорошо, что я не храню пароли в браузере.

Ответить
0
Развернуть ветку
likesimulator

Ох, уж эти ФСБ соц сетей им мало а про комитет вообще молчу

Ответить
0
Развернуть ветку
Читать все 122 комментария
null