/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F0c0eac694e37e94a27bcc6e2d98fe69c.jpg)
Удобная функция браузеров на Windows позволяет красть пароли: как не стать жертвой
Злоумышленники нашли новый способ получать зашифрованные учетные данные пользователей Google Chrome и других популярных браузеров на системах Windows.
Как отмечает Cyber Security News, технология кражи данных, обозначенная в структуре MITRE ATT&CK как T1555.003, позволяет извлекать имена пользователей и пароли непосредственно из веб-браузеров, которые обычно хранят эту информацию для удобного входа в систему.
Согласно последним исследованиям, веб-браузеры обычно хранят эти учетные данные в зашифрованном формате в хранилище учетных данных, но злоумышленники разработали методы, позволяющие извлекать их в виде открытого текста.
В системах Windows злоумышленники могут получить доступ к зашифрованным данным Google Chrome, выбрав файл базы данных, расположенный по адресу AppData\Local\Google\Chrome\User Data\Default\Login Data, и выполнив SQL-запрос: SELECT action_url, username_value, password_value FROM logins;.
Затем зашифрованные данные расшифровываются с помощью функции Windows API CryptProtectData, которая использует кэшированные учетные данные жертвы в качестве ключа расшифровки. С подобной проблемой сталкиваются и другие популярные браузеры, включая Firefox, Edge и Safari.
"С начала 2025 года мы наблюдаем значительный рост числа операций по краже учетных данных браузеров", — отметил исследователь в области кибербезопасности Стивен Лим.
Как защититься от хакеров
Эксперты в области кибербезопасности выявили ряд признаков, указывающих на упомянутую атаку. Наиболее распространенные из них включают:
- хэши файлов с подписями SHA-256, показывающие 3729 индикаторов, и SHA-1 с 256 индикаторами;
- хэши MD5 с 859 случаями при 75% достоверности и 68 случаями при 83% достоверности;
- индикаторы URL и домена показывают 584 и 170 совпадений соответственно;
- ссылки на источники сетевого трафика со 154 индикаторами.
Для обнаружения атак в издании советуют отслеживать шаблоны доступа к файлам в хранилищах учетных данных браузера. Инструменты для безопасности могут генерировать журналы Event ID 4663, когда неавторизованные процессы пытаются получить доступ к таким файлам браузера, как Local State или Login Data.
Важно "Привет, мам": мошенники придумали коварный трюк для выманивания денег в популярном приложенииТакже рекомендуется внедрить многофакторную аутентификацию, регулярно менять пароли и ограничивать привилегированный доступ. Организациям также следует внедрить современные решения по управлению учетными данными, обеспечивающие дополнительные уровни защиты.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F147e2c41-3fd7-4d9f-9857-4d05778ec630.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F1a1e45da5af2f5228ab69dc5d3ab28d5.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2F82490076ffb64ea63802665dc6de628b.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Fca35fd1745c4451525010f011bc7bc49.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F422%2F8cf35154523545b665c838d068ad208a)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F3dde5c4ce85824409d3bf8d29a8737bf.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F8%2Ff373c13748551a3afae25abdffbd0539.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fa541203e78d1956a390fc24072e821c6.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fa1b09028b50ed0672bc80cff40e6f010.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F2778429f54c36ba9de870b3c4f6e8ff7.jpg)