Технологии
Илья Шевелев

СМИ обнаружили вредоносное ПО RedLine, которое крадёт сохранённые пароли и данные банковских карт из браузеров

Программу написали русскоговорящие хакеры: её, а также украденные данные, продают в даркнете и Telegram.

Логотип приложения RedLine

Стилер (так называют ПО для кражи паролей пользователей) RedLine начал массово распространяться в интернете, заметили журналисты Bleeping Computer.

Вредоносное ПО извлекает данные пользователей из браузеров на движке Chromium, например, Google Chrome, Microsoft Edge и Opera для Windows. Кроме того, RedLine крадёт данные из браузеров на движке Gecko, говорится в публичном отчёте исследователей информационной безопасности Insikt Group и в телеграм-каналах распространителей этого ПО.

Данные авторизации, сохранённые в Google Chrome ASEC

В докладе компании AhnLab ASEC RedLine называют серьёзной киберугрозой. В ASEC обнаружили программу в 2021 году, когда расследовали взлом сети неназванной компании. Выяснилось, что доступ осуществлялся через VPN-сервис с компьютера сотрудника, заражённого RedLine.

Дальнейшие эксперименты показали, что программа собирает любые чувствительные сведения, сохранённые в браузерах, а кроме того позволяет управлять компьютерами жертв через протокол удалённого доступа SOAP и гипотетически создавать из них ботнеты. Проблема затрагивает не только компании, но и обычных пользователей, сказано в исследовании.

Bleeping Computer не приводит точных сведений о количестве жертв RedLine, но отмечает, что около половины данных, которые продаются на популярном теневом маркетплейсе 2easy, добыты с помощью этого стилера. Данные, полученные при помощи RedLine, также заметили в маркетплейсах Amigos и Russian Marketplace, уточняют в Insikt Group.

Вероятно, речь идёт о массовом заражении, поскольку ПО RedLine, получившее известность весной 2020 года, плохо определяется антивирусами. По данным сервиса Any.run, в декабре RedLine стала самой популярной программой в своём классе и совершила не менее 22 тысяч атак. Разработчики браузеров за полтора года не устранили брешь безопасности, через которую хакеры получают данные, отмечается в исследовании ASEC.

Брешь, о которой пишут исследователи, скрыта в файлах базы данных SQLite: её используют все браузеры на Chromium для хранения пользовательских настроек. Например, в этих файлах хранятся данные авторизации. Стилер получает доступ к ним, сканируя известные директории на компьютерах жертв.

Директории, в которых хранятся сохранённые пароли браузеров на движке Chromium ASEC

RedLine может нанести серьёзный ущерб, даже если владелец заражённого компьютера не сохраняет пароли: в этом случае хакер может использовать для взлома средства социальной инженерии, отмечают в ASEC. Кроме того, любая полученная информация может обогащать базы данных «пробивщиков» информации, которые можно купить в даркнете.

RedLine попадает на компьютеры жертв самыми разными способами: известны случаи распространения в соцсетях и фишинговые рассылки с вложенными файлами DOC, XLS, RAR и EXE. По данным сервиса ANY.RUN вредоносное ПО загружено на домены, «маскирующиеся» под онлайн-казино. В списке опасных доменных имён редактор TJ нашёл копию сайта шоколадной фабрики имени Крупской.

Программу разработал предположительно русскоговорящий пользователь, известный на теневых форумах под ником RedGLADE, выяснили исследователи. Первые предложения о продаже программы датированы февралём 2020 года. Кроме того, RedLine можно купить в Telegram: на момент выхода статьи в мессенджере есть не менее девяти публичных каналов, где продают программу, на самый популярный из них подписаны более 21 тысячи пользователей.

Предложение купить RedLine Скриншот Insikt

RedLine распространяется в нескольких редакциях по подписной модели, сказано в телеграм-каналах продавцов этого приложения: самая простая стоит 150 долларов в месяц, а профессиональная пожизненная лицензия обойдётся в 800 долларов.

Для превентивной защиты от новой киберугрозы необходимо отказаться от сохранения чувствительных данных в браузере, использовать менеджер паролей и двухфакторную аутентификацию, отмечает Bleeping Computer.

#новости #браузеры #кибербезопасность #хакеры #chrome #Opera