Il malware RedLine prende di mira i browser web più popolari come Chrome, Edge e Opera per rubare le password memorizzate mediante la funzione di auto-login ai servizi online: una seria minaccia, che dimostra perché memorizzare le credenziali di accesso non è mai una buona idea.
Si chiama RedLine il nuovo malware che rappresenta un serio problema di sicurezza per l’uso diffuso della funzione di salvataggio password per l’accesso automatico ai servizi online, largamente fornita e utilizzata nei browser web.
In un report che ne dettaglia l’analisi, gli esperti di AhnLab ASEC si sono concentrati nello studio delle informazioni che RedLine ruba durante gli attacchi, che di fatto prendono di mira i browser Web più diffusi come Google Chrome, Microsoft Edge e Opera.
RedLine: come funziona il malware ruba-password
Lo stealer in questione è uno strumento creato appositamente per rubare informazioni e può essere acquistato per circa 200 dollari sui forum di criminalità informatica. Inoltre, l’installazione e l’avvio del software non richiedono particolari conoscenze e sforzi da parte dell’operatore: RedLine è pressoché utilizzabile da chiunque abbia un minimo di dimestichezza.
Nell’esempio descritto dagli analisti vengono riportati i passaggi effettuati dagli operatori RedLine per rubare le credenziali dell’account VPN di un dipendente remoto, utilizzate tre mesi dopo per compromettere la rete dell’azienda.
Questo è successo nonostante sia stata installata una soluzione anti-malware sul computer infetto, che comunque non è stata in grado di rilevare e rimuovere RedLine.
Il malware prende di mira il file di dati relativo agli accessi che hanno tutti i browser basati su Chromium. Si tratta di un database SQLite (un DBMS open source che permette di creare un database senza processi standalone ma basato su un file di testo) che memorizza nomi utente e password.
Anche quando gli utenti si rifiutano di memorizzare le proprie credenziali nel browser, il sistema di gestione delle password aggiungerà comunque una voce che indica che un determinato sito è stato inserito in “lista nera”. Sebbene gli aggressori non possano rubare le password nella lista nera, capiscono che l’account “esiste”. Ciò consentirà loro di eseguire il riempimento delle credenziali con attacchi brute force o sfruttando l’ingegneria sociale.
Sicuramente rilevante sottolineare l’importanza di non salvare gli accessi nei propri browser web, qualora questa fosse l’abitudine. Non è mai stata una buona pratica di security e privacy, a maggior ragione ora, alla luce della scoperta del malware RedLine. Decisamente più sicuro e affidabile sfruttare un buon gestore di password esterno al browser.
I consigli per prevenire l’infezione di RedLine
Altra grande importanza riveste la prevenzione dall’infezione RedLine. Dobbiamo infatti mettere in atto un comportamento tale da non far entrare questo malware sul nostro computer, possibilmente tanto quanto ci impegniamo a non salvare le password sul nostro browser web.
Sappiamo, infatti, che RedLine si propaga (soprattutto ultimamente, come hanno scoperto gli analisti) tramite file XLL dannosi (file Excel in apparenza, ma che veicolano il malware), che normalmente ci vengono forniti da inviti convincenti a scaricare tali file da siti di phishing, solitamente distribuiti da link che portano a Google Drive (hosting preferito per questi file malevoli).
Estrema attenzione, quindi, in primo luogo al phishing: controlliamo sempre molto bene su che sito web ci troviamo (anche controllando attentamente l’indirizzo completo del dominio), che sia a noi noto prima di scaricare un determinato file (per quanto allettante); se scarichiamo un file da un sito noto, difficilmente questo ce lo fornirà tramite condivisione su Google Drive; se ci troviamo in questa situazione analizziamo anche questo sospetto.
Una cyber-igiene per bloccare il commercio illegale di dati
Quello che deve essere chiaro è che se evitiamo l’infezione a priori (prima che un eventuale antivirus ci allerti), solo con buone pratiche e particolare attenzione, RedLine non ha modo di entrare in funzione e il commercio di questa mole di dati rubati calerà, rendendolo inoffensivo.
Dopo aver rubato le credenziali, gli aggressori le utilizzano in ulteriori attacchi o cercano di venderle sui mercati DarkNet. Un esempio di quanto RedLine sia diventato popolare tra i criminali informatici è l’ascesa del mercato underground 2easy, dove la metà di tutti i dati venduti è stata rubata utilizzando questo malware.
Inoltre, è significativo un dato che abbiamo raccolto monitorando l’attività sui principali forums del settore (fondamentalmente RaidForums, BHF e Demon Forums): solo per il mese di dicembre, fino al momento in cui scriviamo, sono comparsi 20 annunci diversi di vendita di logs, credenziali e informazioni utili esfiltrate tramite malware RedLine.
In effetti, proprio nelle ultime ore, il popolare servizio di notifica per data breach I Have Been Pwned, del ricercatore Troy Hunt, è entrato in contatto con 441mila indirizzi e-mail aggiunti ai propri elenchi, rinvenienti da un server utilizzato per archiviare più di 6 milioni di logs rubati con RedLine, ma non adeguatamente protetto dall’attore di tali minacce.
Si tratta proprio di quei logs che vengono adoperati individualmente per la vendita sui forums.
