اگر رمزهای عبور را در مرورگرها ذخیره می‌کنید خطر در یک قدمی‌تان است

این بدافزار با هدف سرقت اطلاعات طراحی شده و به راحتی با قیمتی نزدیک به 200 دلار از طریق دارک وب و انجمن‌های هکری در اختیار کاربران قرار می‌گیرد. جالب آن‌که برای استفاده از این بدافزار نیازی به دانش یا مهارت خاصی ندارید و کافی است پس از خریداری از آن استفاده کنید.

مرکز رسیدگی به موارد فوریت‌های امنیتی AhnLab ASEC در گزارشی اعلام کرده: «کاربری ساده و استفاده از قابلیت لاگین‌های خودکار در مرورگرها باعث بروز مشکلات مهمی شده است که روی افراد و سازمان‌ها اثرات مخربی دارد. کاربران با هدف دسترسی سریع به اطلاعات لاگین به سرویس‌ها و برنامه‌های کاربردی مختلف اقدام به ذخیره‌سازی اطلاعات نام کاربری و گذرواژه‌ها در مرورگرهای خود می‌کنند غافل از آن‌که این احتمال وجود دارد که بدافزار خط‌قرمز این توانایی را دارد تا اطلاعات آن‌ها را سرقت کند. در یک نمونه، کارشناسان امنیتی متوجه شدند که کارکنان دورکار یک شرکت، اعتبارنامه‌ها و موارد امنیتی را به سارقان RedLine واگذار کردند و همین باعث شد هکرها اطلاعات لازم برای هک شبکه شرکت را بدست آوردند و سه ماه بعد کنترل شبکه را به‌دست گیرند. این حمله در شرایطی با موفقیت به سرانجام رسید که کامپیوترهای آلوده از نرم‌افزارهای ضدبدافزار استفاده می‌کردند، اما در شناسایی و تشخیص RedLine موفق نبودند.»

این بدافزار فایل Login Data در تمام مرورگرهای مبتنی بر کرومیوم (Chromium-based) و SQLite  که تمام نام‌های کاربری و رمزهای عبور در آن ذخیره شدند را پیدا می‌کند.

با وجود این‌که رمزهای عبور مرورگرها رمزنگاری شده‌اند، شبیه به کاری که مرورگرهای مبتنی بر Chromium-based انجام می‌دهند، اما این بدافزار، مادامی که با یک نام کاربری لاگین کرده‌اید، می‌تواند با استفاده از برنامه‌های رمزگشا اقدام به شکستن الگوریتم رمزنگاری کند. زمانی که RedLine روی یک سیستم کاربری اجرا شود، قادر است تمامی رمزهای عبور را از پروفایل مرورگر قربانی استخراج کند.

در همین ارتباط یکی از توسعه‌دهندگان تیم مرورگر کروم گوگل می‌گوید: «سیستم رمزنگاری گوگل مبتنی بر CryptProtectData function است. در شرایطی که این الگوریتم عملکرد بسیار دقیق و قدرتمندی دارد و از الگوریتم رمزنگاری triple-DES نیز استفاده می‌کند و یک کلید ویژه برای رمزنگاری اطلاعات کاربر می‌سازد؛ اما باز هم مادامی که شما داخل نام کاربری‌ که عمل رمزنگاری برای آن انجام شده لاگین کرده باشید، امکان رمزگشایی اطلاعات وجود دارد».

تابع CryptProtectData یک دوقلو به‌نام CryptUnprotectData دارد که عملکرد برعکس دارد. این تابع داده‌ها را رمزگشایی می‌کند و بدیهی است که برای رمزگشایی رمزهای عبور ذخیره‌شده در این بدافزار مفید خواهد بود.

سایت Haveibeenpwned.com آدرس ایمیل شما را در برابر نقض اطلاعات شناخته‌شده اسکن می‌کند و به شما در مورد موارد مشابه هشدار می‌دهد.

برای مقابله با این بدافزار چه کاری انجام دهیم؟

استفاده از مرورگرتان برای ذخیره رمزهای عبور کار را خیلی ساده‌تر از قبل کرده‌اند، اما انجام این کار حتی اگر به این بدافزار آلوده نشوید کار پر مخاطره‌ای است که امنیت‌تان را به خطر می‌اندازد. با انجام این کار، یک فرد داخلی یا هکری که هزاران کیلومتر از شما دورتر است این شانس را دارد که در عرض چند دقیقه تمام رمزهای عبور شما را سرقت کند. در مقابل ، بهتر است از یک نرم‌افزار مدیریت رمز عبور اختصاصی استفاده کنید که همه چیز را در یک صندوق رمزگذاری شده ذخیره می‌کند و از master password  برای باز کردن قفل آن استفاده می‌کند.

علاوه بر این، باید قوانین خاصی را برای وب‌سایت‌های حساس مانند پورتال‌های بانکداری الکترونیک یا صفحات وب دارایی‌های شرکت‌تان که نیاز به ورودی دستی اعتبار دارند، پیکربندی کنید. در نهایت، احراز هویت چند عاملی را در هر کجا که در دسترس است فعال کنید، زیرا این مرحله اضافی می‌تواند شما را از حوادث دزدی حساب کاربریتان نجات دهد، حتی اگر اعتبار شما به خطر افتاده باشد.