Un logiciel malveillant nommé RedLine est un malware de vol d’information stocké dans les navigateurs web tels que Chrome, Edge et Opera

Selon un rapport récent de l’entreprise AhnLab ASEC spécialisée en cybersécurité, l'utilisation de la fonction de connexion automatique des navigateurs Web est en train de devenir un problème de sécurité important qui touche à la fois les organisations et les particuliers.

Dans un exemple présenté par les analystes, un employé distant a perdu les informations d'identification de son compte VPN au profit d'acteurs de RedLine Stealer qui ont utilisé ces informations pour pirater le réseau de l'entreprise trois mois plus tard.

Bien qu'une solution anti-malware ait été installée sur l'ordinateur infecté, elle n'a pas réussi à détecter et à supprimer RedLine Stealer.

Le malware cible le fichier "Login Data" présent sur tous les navigateurs Web basés sur Chromium, qui est une base de données SQLite dans laquelle sont enregistrés les noms d'utilisateur et les mots de passe.

Bien que les bases de données de mots de passe des navigateurs soient cryptées, comme celles utilisées par les navigateurs basés sur Chromium, les logiciels malveillants qui volent des informations peuvent décrypter la base de données de manière programmée tant qu'ils sont connectés en tant que même utilisateur. Comme RedLine s'exécute sous le nom de l'utilisateur qui a été infecté, il pourra extraire les mots de passe de son profil de navigateur.

Après avoir collecté les informations d'identification volées, les acteurs de la menace les utilisent dans d'autres attaques ou tentent de les monnayer en les vendant sur les marchés du dark web.

On a l'impression que RedLine est partout en ce moment, et la principale raison en est son efficacité à exploiter une faille de sécurité largement répandue que les navigateurs Web modernes refusent de combler.

Pour se protéger de ce type de malware, il faut éviter le stockage des identifiant de connexion dans les navigateurs web. Au lieu de cela, il est préférable d'utiliser un gestionnaire de mots de passe dédié qui stocke tout dans un coffre-fort crypté et demande le mot de passe principal pour le déverrouiller. De plus, l’activation l'authentification multifactorielle à chaque fois qu'elle est disponible, peut protéger des incidents de prise de contrôle de comptes, même si les informations d'identification ont été compromises.