信息化觀察網(wǎng)

近日，肆虐全球的RedLine信息竊取惡意軟件以Chrome、Edge和Opera等流行網(wǎng)絡(luò)瀏覽器為目標(biāo)實(shí)施攻擊活動(dòng)，再次證明了將密碼存儲(chǔ)在瀏覽器中存在安全隱患。

這種惡意軟件是一種商業(yè)化信息竊取程序，其目標(biāo)是在所有基于Chromium的網(wǎng)絡(luò)瀏覽器上找到的“登錄數(shù)據(jù)”文件，并保存用戶名和密碼。目前該程序在網(wǎng)絡(luò)犯罪論壇上以大約200美元的價(jià)格出售，無(wú)需太多專(zhuān)業(yè)技能即可部署利用。攻擊者在使用它實(shí)施攻擊活動(dòng)后，即使受感染的計(jì)算機(jī)安裝了反惡意軟件解決方案，也難以檢測(cè)和刪除RedLine Stealer。

圖1存儲(chǔ)在數(shù)據(jù)庫(kù)文件中的憑據(jù)（來(lái)源：ASEC）

現(xiàn)在RedLine已被大量利用，這背后的主要原因是它有效地利用了現(xiàn)代Web瀏覽器難以解決廣泛可用的安全漏洞。雖然瀏覽器密碼存儲(chǔ)是加密的，例如基于Chromium的瀏覽器使用了密碼存儲(chǔ)，但只要它們以同一用戶身份登錄，信息竊取惡意軟件就可以通過(guò)編程方式解密存儲(chǔ)。由于RedLine以被感染的用戶身份運(yùn)行，因此它能夠從其瀏覽器配置文件中提取密碼。

研究發(fā)現(xiàn)，即使用戶拒絕將其憑據(jù)存儲(chǔ)在瀏覽器上，密碼管理系統(tǒng)仍會(huì)添加一個(gè)條目以表明特定網(wǎng)站已被“列入黑名單”。雖然攻擊者可能沒(méi)有這個(gè)“列入黑名單”的帳戶密碼，但它確實(shí)告訴了他們?cè)搸舸嬖?，允許他們執(zhí)行憑證填充或社會(huì)工程/網(wǎng)絡(luò)釣魚(yú)攻擊。在收集到被盜憑證后，攻擊者要么將其用于進(jìn)一步的攻擊，要么試圖通過(guò)在暗網(wǎng)市場(chǎng)上出售它們來(lái)獲利。

研究人員建議，最好使用專(zhuān)用密碼管理器將所有內(nèi)容存儲(chǔ)在加密的保險(xiǎn)庫(kù)中并設(shè)置主密碼解鎖；應(yīng)該為敏感網(wǎng)站（例如電子銀行門(mén)戶網(wǎng)站或企業(yè)資產(chǎn)網(wǎng)頁(yè)）配置特定規(guī)則，這些網(wǎng)站需要手動(dòng)輸入憑據(jù)；最后，在任何可用的情況下激活多因素身份驗(yàn)證，這樣即使用戶憑據(jù)已被盜用，此附加步驟也可以使其免于帳戶接管事件。