Muchos usuarios recurren a los gestores de contraseñas que ofrecen navegadores web como Google Chrome, Safari o Edge, por la comodidad que supone no tener que introducirlas o incluso recordarlas, ya que cada vez tenemos más. No obstante, esta práctica tan habitual no está exenta de riesgos y la última prueba de ello es "Readline Stealer", un malware que roba con facilidad las contraseñas almacenadas en los navegadores y afecta tanto a particulares como a empresas.
La compañía de ciberseguridad surcoreana AhnLab ASEC ha alertado sobre este peligroso software malicioso tras llevar a cabo una investigación sobre un acceso no autorizado a la red interna de una determinada empresa, que ha preferido no especificar. Según ha confirmado AhnLab ASEC, la cuenta de VPN de la empresa se filtró desde el ordenador de un empleado que trabajaba de forma remota y utilizó el gestor de contraseñas del navegador web para guardar y utilizar la cuenta y la contraseña de la red VPN.
"Al hacerlo, el PC se infectó con un malware dirigido a las credenciales de la cuenta, filtrando cuentas y contraseñas de varios sitios, que también incluían la cuenta VPN de la empresa", señala la firma de ciberseguridad. "La cuenta de VPN filtrada se utilizó tres meses después para hackear la red interna de la empresa", añade.
AhnLab ASEC continúa indicando que el ordenador del empleado era de uso familiar y estaba infectado desde hacía tiempo con varios programas maliciosos, entre ellos Redline Stealer. También señala que el ordenador tenía instalado un programa antivirus, por lo que el malware fue capaz de evadir su detección.
También puede robar otra información, como los datos bancarios
De acuerdo a la investigación, este malware se dirige a navegadores basados en Chromium (Chrome, Edge, Opera, Vivaldi) y Gecko (Firefox) y tiene como objetivo un archivo denominado "Login Data". Este archivo es una base de datos SQLite en la cual se almacenan los nombres de usuario y las contraseñas, junto a otros datos como la URL de la página web o el número de veces que se ha accedido a ella.
Redline Stealer no solo es capaz de robar los nombres de usuario y contraseñas guardadas en los navegadores. Se trata de un malware considerado un "ladrón de información" y también puede recopilar datos de las tarjetas bancarias y de las carteras de criptomonedas almacenadas en el navegador, así como descargar archivos en el equipo infectado y cargarlos desde allí.
Ha estado a la venta por 150-200 dólares y ya había sido detectado en otros ataques
Siguiendo la información de AhnLab ASEC, Redline Stealer apareció por primera vez en 2020 en una página rusa de la dark web, donde un usuario bajo el nombre de REDGlade lo ponía a la venta por un precio de entre los 150 y 200 dólares. En este sentido, la empresa surcoreana señala que el hecho de que se vendiera a personas anónimas de forma indiscriminada, hace que sea difícil relacionar a su desarrollador con los atacantes. Además, apunta que en la dark web no solo se ha vendido el malware, también las credenciales que se robaban a través de él.
Aunque es imposible saber las veces que Redline Stealer ha sido utilizado, AhnLab ASEC recuerda que se detectó por primera vez en marzo de 2020, cuando fue distribuido en correos electrónicos de phishing que se aprovechaban de la incertidumbre generada por la Covid-19. Desde entonces, también se ha difundido mediante anuncios de Google y disfrazado como un "programa" de edición de imágenes.
Finalmente, los expertos en ciberseguridad de AhnLab ASEC han recomendado a los usuarios que se abstengan de almacenar sus contraseñas en el navegador, a pesar de la conveniencia, y solo utilicen programas de fuentes claras.