RedLine ruba le password salvate nel browser web dagli utenti

Tutti i browser web integrano un password manager ossia un gestore di password che permette di gestire le credenziali d’accesso e riproporle all’utente ogniqualvolta cerchi di effettuare il login, in un momento successivo, sul medesimo sito web.

Se da un lato, pur utilizzando l’autenticazione a due fattori, è importante usare un generatore di password sicuro, dall’altro sono fondamentali le modalità con cui le credenziali vengono conservate e gestite: usare il password manager del browser è una pessima idea.
Abbiamo visto com’è facile trovare password in Windows ed estrarre tutte quelle memorizzate nei password manager dei browser web. L’operazione è effettuabile anche in fase di avvio, senza conoscere le credenziali per l’accesso a Windows, servendosi di un supporto di boot o del semplice supporto d’installazione del sistema operativo.

Il malware RedLine sta mietendo vittime in tutto il globo rastrellando password memorizzate con i vari browser: si tratta di una minaccia che prende di mira le installazioni di Chrome, Edge e in generale di tutti i software derivati da Chromium e che è venduta sul “mercato nero” per appena 200 dollari.

I ricercatori di AhnLab ASEC hanno scoperto che RedLine non soltanto si impadronisce delle credenziali memorizzate nei password manager del browser ma analizza il contenuto del file Login Data utilizzati in tutti i prodotti derivati da Chromium.
Tale file, in formato SQLite, non è soltanto un archivio dei nomi utente e delle password digitate ma tiene traccia anche dei siti web per i quali l’utente ha deciso di non salvare alcuna credenziale. Grazie a quest’informazione RedLine può risalire al fatto che un utente specifico disponga di un account su un dato sito web: in questo modo i criminali informatici possono lanciare attacchi phishing e creare aggressioni personalizzate spesso davvero molto efficaci.

I dati raccolti da RedLine vengono trasferiti a soggetti terzi e spesso anch’essi venduti sul mercato nero utilizzando piattaforme create sul dark web.

Per diffondersi, RedLine utilizza numerose tecniche e vettori: tra i tanti file malevoli trasmessi per email o mediante altri canali, documenti Office contenenti codice dannoso e add-in per Excel in formato XLL.

In generale si dovrebbero sempre usare password manager sicuri come ad esempio Keepass e derivati. Keepass vanta numerosi progetti “fork”, alcuni dei quali vengono incontro anche agli utenti meno smaliziati e sono multipiattaforma: un esempio è KeePassXC.
In azienda si può anche allestire un proprio server per la gestione delle password in grado di supportare l’autenticazione a due fattori: Psono permette di memorizzare password e condividerle con i collaboratori in totale sicurezza.