Malware greift im Webbrowser gespeicherte Passwörter ab

4. Januar 2022, 11:29
  • security
  • breach
  • cyberangriff
image

Die Schadsoftware Redline zielt auf beliebte Browser wie Chrome und Edge. Bereits wurde ein erstes grösseres Datenpaket aus dem Darkweb öffentlich gemacht.

Usernamen und Passwörter im Browser abzuspeichern ist komfortabel, weder braucht man dafür ein gutes Gedächtnis noch einen Passwortmanager oder einen Fresszettel mit den Zeichenkombinationen. Entsprechend ist die Auto-Login-Funktion weit verbreitet. Nun warnen Security-Forscher von AhnLab Asec: Die Malware Redline, die man 2020 das erste Mal in freier Wildbahn beobachtet hat, kann aus beliebten Webbrowsern wie Chrome, Edge und Opera Informationen abgreifen. Dazu gehören gespeicherte Kreditkartendaten aber auch Passwörter.
Die Malware ist nicht besonders raffiniert oder kompliziert einzusetzen. Für unter 200 Dollar kann Redline in Darkwebforen erworben werden, um dann ohne viel Vorwissen eingesetzt zu werden. Sie zielt auf die Datei "Login Data", eine SQLite-Datenbank in Chromium-basierten Webbrowsern, die Benutzernamen und Kennwörter umfasst. Zwar sind diese verschlüsselt, aber Angriffe mit Redline laufen über das Konto der gehackten User, so dass die Malware die Entschlüsselungsfunktion aktivieren und das Passwort im Klartext erzeugen kann.
AhnLab Asec hat einen Fall untersucht, bei dem ein Remote-Arbeiter seine VPN-Kontodaten an Cyberkriminelle verlor, die Redline einsetzten. Die Hacker griffen drei Monate später das Firmennetzwerk an. Der Beschäftigte hatte das Passwort des VPN im Webbrowser gespeichert.
Auch wenn man seine Passwörter nicht im Browser speichert, erzeugt dieser eine Liste der Websites, die man besucht. Er speichert dabei, dass dort die Passwörter nicht hinterlegt werden sollen. Angreifer kommen in diesem Falle nicht an die Anmeldedaten, aber sie können spezifische Angriffe durchführen, die auf das persönliche Konto jener Websites abzielen.
Es zeigt sich einmal mehr: Es führt kein Weg um einen verlässlichen Passwort-Manager herum. Zudem sollte man, wo immer möglich, die Multi-Faktor-Authentifizierung aktivieren. Schliesslich sei auch nochmals auf "Have i been pwned" hingewiesen, wo man prüfen kann, ob die eigenen Daten in einem bekannten Breach abhandengekommen sind. Auf der Website ist seit letztem Dezember auch ein redlinebasierter Breach mit über 440'000 Accounts gelistet.
Hier findet man den Report von AhnLab ASEC mit technischen Details.

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023