Un nuevo virus llamado RedLine está robando contraseñas de navegadores web. Google Chrome, Microsoft Edge, Safari y Firefox se convierten así en blanco de quienes tienen la mayor parte de su identidad online y accesos guardados en sus computadoras.
'Redline Stealer' se llama el malware (programa malicioso), que puede entrar en los dispositivos y conseguir las contraseñas almacenadas en nuestro navegador. Apareció por primera vez en 2020 en un sitio web ruso de la dark web, pudiendo adquirirse por entre unos 150 y 200 dólares. Hasta hace poco se podía encontrar incluso a través de un canal de Telegram.
Su principal forma de propagarse es a través de correos electrónicos y la publicidad de Google que podemos encontrar en sitios web, aunque también se lo encontró camuflado en forma de programa de edición de fotos.
En navegadores web basados en Chromium, el gestor de contraseñas está activo por defecto. Cuando iniciamos sesión en un sitio web, la información se queda guardada en un archivo denominado 'Login Data'.
Acá, además del usuario y contraseña, podemos encontrar la URL del sitio web, el número de veces que hemos accedido, y la fecha de inicio de sesión, todo ello recopilado en un archivo de base de datos SQLite.
En caso de que el usuario escoja no guardar la contraseña para el sitio, en la tabla solamente aparecerá la información del sitio web.
Según el último informe de Bleeping Computer, un medio especializado en ciberseguridad y riesgos informáticos, el malware RedLine pudo robar detalles esenciales del consumidor, como contraseñas y direcciones de correo electrónico. El virus también pudo obtener credenciales, tarjetas de crédito y cookies del navegador.
Los expertos en seguridad también explicaron que las credenciales de varios clientes VPN y FTP también se vieron afectadas. Además de robar información esencial, este peligroso malware también puede robar cuentas de billetera de criptomonedas.
Otra cosa que hace que este malware sea bastante complicado es que puede instalar ataques de software de seguimiento y ejecutar comandos en el dispositivo o sistema infectado.
En un ejemplo presentado por los analistas, un empleado remoto perdió las credenciales de la cuenta de VPN ante los actores de RedLine Stealer que utilizaron la información para piratear la red de la empresa tres meses después.
Aunque la computadora infectada tenía instalada una solución anti-malware, no pudo detectar ni eliminar RedLine Stealer.
El malware apunta al archivo 'Datos de inicio de sesión' que se encuentra en todos los navegadores web basados en Chromium y es una base de datos SQLite donde se guardan los nombres de usuario y las contraseñas.
Si bien los depósitos de contraseñas del navegador están cifrados, como los que utilizan los navegadores basados en Chromium, el malware que roba información puede descifrar el repositorio de forma programática siempre que inicien sesión como el mismo usuario.
Como RedLine se ejecuta como el usuario infectado, podrá extraer las contraseñas de su perfil de navegador.
