Redline Stealer恶意软件:窃取浏览器中存储的用户凭证
在调查某公司最近发生的内部数据泄露事件时,AhnLab ASEC分析小组确认用于访问公司网络的虚拟专用网络账户是从某位在家工作的员工的电脑上泄露的。发生损失的公司为在家工作的员工提供虚拟专用网络服务,让他们访问公司的内部网络,员工用提供的笔记本电脑或他们的 PC 通过虚拟专用网络连接到公司内部网络。 目标员工利用网络浏览器提供的密码管理功能,在网络浏览器上保存并使用虚拟专用网络网站的账号和密码。在这样做的时候,个人电脑被感染了针对账户凭证的恶意软件,泄露了各个网站的账户和密码,其中也包括公司的虚拟专用网络账户。三个月后,被泄露的虚拟专用网络账户被用来入侵该公司的内部网络。 为了方便用户,网络浏览器会储存用户访问网站时输入的账户和密码,并提供再次访问时自动输入的功能。在基于 Chromium 的网络浏览器(Edge、Chrome)上,密码管理功能是默认启用的。登录时输入的信息会通过密码管理功能保存到登录数据文件中。 网络浏览器文件路径: ChromeC:\Users\ EdgeC:\Users\ OperaC:\Users\ WhaleC:\Users\ 登录数据是一个SQLite数据库...
