/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fe4f7e5e6f0de5c79039da3a88a96e06f.jpg)
Зручна функція браузерів на Windows дає змогу красти паролі: як не стати жертвою
Зловмисники знайшли новий спосіб отримувати зашифровані облікові дані користувачів Google Chrome та інших популярних браузерів на системах Windows.
Як зазначає Cyber Security News, технологія крадіжки даних, позначена в структурі MITRE ATT&CK як T1555.003, дає змогу витягати імена користувачів і паролі безпосередньо з веб-браузерів, які зазвичай зберігають цю інформацію для зручного входу в систему.
Згідно з останніми дослідженнями, веб-браузери зазвичай зберігають ці облікові дані в зашифрованому форматі в сховищі облікових даних, але зловмисники розробили методи, що дають змогу витягувати їх у вигляді відкритого тексту.
У системах Windows зловмисники можуть отримати доступ до зашифрованих даних Google Chrome, вибравши файл бази даних, розташований за адресою AppData\Local\Google\Chrome\User Data\Default\Login Data, і виконавши SQL-запит: SELECT action_url, username_value, password_value FROM logins;.
Потім зашифровані дані розшифровуються за допомогою функції Windows API CryptProtectData, яка використовує кешовані облікові дані жертви як ключ розшифровки. З подібною проблемою стикаються й інші популярні браузери, зокрема Firefox, Edge і Safari.
"З початку 2025 року ми спостерігаємо значне зростання кількості операцій із крадіжки облікових даних браузерів", — зазначив дослідник у сфері кібербезпеки Стівен Лім.
Як захиститися від хакерів
Експерти в галузі кібербезпеки виявили низку ознак, що вказують на згадану атаку. Найпоширеніші з них включають:
- хеші файлів із підписами SHA-256, що показують 3729 індикаторів, і SHA-1 з 256 індикаторами;
- хеші MD5 з 859 випадками за 75% достовірності та 68 випадками за 83% достовірності;
- індикатори URL і домену показують 584 і 170 збігів відповідно;
- посилання на джерела мережевого трафіку зі 154 індикаторами.
Для виявлення атак у виданні радять відстежувати шаблони доступу до файлів у сховищах облікових даних браузера. Інструменти для безпеки можуть генерувати журнали Event ID 4663, коли неавторизовані процеси намагаються отримати доступ до таких файлів браузера, як Local State або Login Data.
Також рекомендується впровадити багатофакторну автентифікацію, регулярно змінювати паролі та обмежувати привілейований доступ. Організаціям також слід впровадити сучасні рішення з управління обліковими даними, що забезпечують додаткові рівні захисту.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F09f7e937-ebb5-4267-be2e-b3bf04365b41.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F39d05ae5c68b8d1f8d47f951510e98b2.jpg)
/https%3A%2F%2Fthumbor.my.ua%2FGO9QuqFFY0p-SgRpgV7RGx6-oGE%3D%2F16x0%2Fsmart%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F147e2c41-3fd7-4d9f-9857-4d05778ec630.jpeg){kind=small}
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Fa66c558af19a2496599b44c6d8af1fd8.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2Fb7936a981c7a841f4203f988e3e4b9aa.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F81c654da4e8d0c4bfec39fd680c9a68e.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F209%2Fc54f30ada4457e9d1496b16aaa57935c.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F40f47af74f56cabdd763e9df98c444e6.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F45%2Fcad85179d6611db5585ce887f553179a.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fdf58158746b960ca88fb0918b557dfb4.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F209%2F9be3c5989691b0b13b19da15e63e94a8.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F896487aab7a5728ac77627bd66a70c37.jpg)