Il est très facile aujourd’hui de sauvegarder les nombreux mots de passe que nous avons tous, et nous le faisons simplement dans les navigateurs Web. C’est sans compter l’existence du logiciel malveillant de vol d’information Redline Stealer. Ce trojan, apparu pour la première fois sur le dark web russe en mars 2020, collecte les identifiants de compte enregistrés ciblant particulièrement des navigateurs Web po- pulaires tels que Chrome, Edge et Firefox.
Un utilisateur pirate aurait mis en ligne un article promotionnel expliquant les différentes fonctionnalités incluses dans Redline Stealer et vendant l’outil de piratage pour 150 à 200 dollars sur des forums de cybercriminalité et pouvant être déployé sans nécessiter beaucoup de connaissances ou d’efforts. Tout utilisateur peut être victime de cette attaque et se retrouver sans son mot de passe, donnant aux attaquants l’accès à des informations sensibles et privées.
Sa propagation est simple et arrive par e-mail, dans les publicités diffusées par Google, voire même dans les applications de retouche d’images.
Même si vous avez déjà un logiciel anti-malware installé sur l’ordinateur infecté, il n’arrivera pas à détecter, ni à supprimer RedLine Stealer.
Dans n’importe quel navigateur basé sur Chromium, les mots de passe sont stockés dans une base de données SQLite, où les données sont enregistrées, Redline Stealer se concentre sur ce fichier et vole les informations qui y sont présentes. Ce malware est également capable de voler des cookies, des données de remplissage automatique et des cartes de crédit.
Bien que les bases de données de mots de passe des navigateurs soient cryptées, comme celles utili- sées par les navigateurs basés sur Chromium, les logiciels malveillants peuvent décrypter la base de données de manière programmée tant qu’ils sont connectés en tant que même utilisateur. Comme RedLine s’exécute sous le nom de l’utilisateur qui a été infecté, il pourra extraire les mots de passe de son profil de navigateur.
« Google Chrome crypte le mot de passe à l’aide de la fonction CryptProtectData, intégrée à Windows. Maintenant, bien que cette fonction puisse être très sécurisée en utilisant un algorithme triple-DES et en créant des clés spécifiques à l’utilisateur pour crypter les données, celles-ci peuvent toujours être décryptées tant que vous êtes connecté au même compte que l’utilisateur qui les a cryptées ».
Même lorsque les utilisateurs refusent de stocker leurs informations d’identification sur le navigateur, le système de gestion des mots de passe ajoute une entrée pour indiquer que le site Web en question est « sur liste noire ».
Après avoir collecté les informations d’identification volées, les acteurs de la menace les utilisent dans d’autres attaques ou tentent de les monnayer en les vendant sur les marchés du Dark Web.
Un exemple de la popularité de RedLine auprès des pirates est l’essor de la place de marché “2easy” sur le dark web, où la moitié des données vendues ont été volées à l’aide de ce malware.
Un autre cas récent de la propagation de RedLine est une campagne de spam de formulaires de contact sur un site Web qui utilise des fichiers Excel XLL qui téléchargent et installent le malware de vol de mot de passe.
Article Pourquoi stocker vos mots de passe dans les navigateurs est une si mauvaise idée
On a l’impression que RedLine est partout en ce moment, et la principale raison en est son efficacité à exploiter une faille de sécurité largement répandue que les navigateurs Web modernes refusent de combler.
Les escroqueries ont ligne ont grimpé en flèche lors du premier confinement en mars 2020 en France et continuent d’affluer partout dans le monde, les cybercriminels étant toujours plus créatifs lorsqu’ils s’attaquent aux particuliers comme aux entreprises. (* D’après une récente étude depuis la fin février 2020, un pic de 667% du nombre de ces attaques a été observé.)
Il est en effet tentant et pratique d’utiliser votre navigateur Web pour stocker vos identifiants de connexion, ou autres informations importantes et sen- sibles mais cette pratique est risquée, même sans infection par des logiciels malveillants.
En agissant ainsi, un acteur local ou distant ayant accès à votre machine pourrait voler tous vos mots de passe en quelques minutes.
Au lieu de cela, il serait préférable d’utiliser un gestionnaire de mots de passe dédié qui stocke tout dans un coffre-fort crypté et demande le mot de passe principal pour le déverrouiller.
De plus, pour les sites Web sensibles, tels que votre banque en ligne ou les pages d’accès internet de votre entreprise, vous devriez configurer des règles spécifiques qui nécessitent une saisie manuelle des informations d’identification.
Enfin, activez l’authentification à multi facteurs lorsqu’elle est disponible, car cette étape supplémen- taire peut vous protéger contre les incidents de prise de contrôle de compte, même si vos informations d’identification ont été compromises.