[[443140]]

近日，肆虐全球的 RedLine 信息竊取惡意軟件以 Chrome 、 Edge 和 Opera 等流行網(wǎng)絡(luò)瀏覽器為目標(biāo)實(shí)施攻擊活動(dòng)，再次證明了將密碼存儲(chǔ)在瀏覽器中存在安全隱患。

這種惡意軟件是一種商業(yè)化信息竊取程序，其目標(biāo)是在所有基于 Chromium 的網(wǎng)絡(luò)瀏覽器上找到的“登錄數(shù)據(jù)”文件，并保存用戶名和密碼。目前該程序在網(wǎng)絡(luò)犯罪論壇上以大約 200 美元的價(jià)格出售，無需太多專業(yè)技能即可部署利用。攻擊者在使用它實(shí)施攻擊活動(dòng)后，即使受感染的計(jì)算機(jī)安裝了反惡意軟件解決方案，也難以檢測(cè)和刪除 RedLine Stealer 。

圖1 存儲(chǔ)在數(shù)據(jù)庫文件中的憑據(jù)(來源：ASEC)

現(xiàn)在 RedLine 已被大量利用，這背后的主要原因是它有效地利用了現(xiàn)代 Web 瀏覽器難以解決廣泛可用的安全漏洞。雖然瀏覽器密碼存儲(chǔ)是加密的，例如基于 Chromium 的瀏覽器使用了密碼存儲(chǔ)，但只要它們以同一用戶身份登錄，信息竊取惡意軟件就可以通過編程方式解密存儲(chǔ)。由于 RedLine 以被感染的用戶身份運(yùn)行，因此它能夠從其瀏覽器配置文件中提取密碼。

研究發(fā)現(xiàn)，即使用戶拒絕將其憑據(jù)存儲(chǔ)在瀏覽器上，密碼管理系統(tǒng)仍會(huì)添加一個(gè)條目以表明特定網(wǎng)站已被“列入黑名單”。雖然攻擊者可能沒有這個(gè)“列入黑名單”的帳戶密碼，但它確實(shí)告訴了他們?cè)搸舸嬖?，允許他們執(zhí)行憑證填充或社會(huì)工程/網(wǎng)絡(luò)釣魚攻擊。在收集到被盜憑證后，攻擊者要么將其用于進(jìn)一步的攻擊，要么試圖通過在暗網(wǎng)市場(chǎng)上出售它們來獲利。

研究人員建議，最好使用專用密碼管理器將所有內(nèi)容存儲(chǔ)在加密的保險(xiǎn)庫中并設(shè)置主密碼解鎖;應(yīng)該為敏感網(wǎng)站(例如電子銀行門戶網(wǎng)站或企業(yè)資產(chǎn)網(wǎng)頁)配置特定規(guī)則，這些網(wǎng)站需要手動(dòng)輸入憑據(jù);最后，在任何可用的情況下激活多因素身份驗(yàn)證，這樣即使用戶憑據(jù)已被盜用，此附加步驟也可以使其免于帳戶接管事件。

參考鏈接：https://asec.ahnlab.com/en/29885/

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文