Хакери винайшли новий спосіб добування зашифрованих логінів і паролів із браузерів на ОС Windows — зокрема з Google Chrome та інших популярних програм для перегляду інтернету.
Про це повідомляє ресурс Cyber Security News.
Мова йде про техніку крадіжки даних, яка в системі класифікації MITRE ATT&CK позначена як T1555.003. Вона дозволяє зловмисникам витягувати конфіденційні облікові дані — імена користувачів і паролі — прямо з браузерних сховищ, де вони зберігаються для автоматичного входу.
Попри те, що браузери зазвичай зберігають ці дані в зашифрованому вигляді, дослідники фіксують випадки, коли кібершахраї вміло обробляють їх і отримують відкритий текст.
На ОС Windows доступ до зашифрованих паролів браузера Chrome здійснюється через файл бази даних за шляхом: AppData\Local\Google\Chrome\User Data\Default\Login Data.
За допомогою SQL-запиту SELECT action_url, username_value, password_value FROM logins; зчитуються адреса сайту, логін та зашифрований пароль. Потім цей пароль розшифровується через API Windows — функцію CryptProtectData, яка використовує збережені у пам’яті дані користувача як ключ.
Подібним чином атак зазнають і інші браузери — наприклад, Firefox, Safari та Edge.
Фахівець із кібербезпеки Стівен Лім повідомив:
“Від початку 2025 року ми фіксуємо значне зростання активності хакерів, спрямованої на крадіжку облікових даних із браузерів“.
Як розпізнати загрозу?
Експерти виділили низку цифрових слідів, які допомагають виявити такі атаки:
- SHA-256: 3729 унікальних хешів;
- SHA-1: 256 виявлених індикаторів;
- MD5: 859 збігів із вірогідністю 75% і ще 68 — із 83% достовірності;
- URL та домени: 584 збіги з URL та 170 з доменами;
- Джерела трафіку: 154 ідентифікованих мережевих показника.
Для захисту аналітики радять стежити за несанкціонованими зверненнями до критичних файлів браузера, таких як Login Data або Local State. Системи безпеки можуть виявляти ці спроби завдяки логам з ідентифікатором події Event ID 4663.
Рекомендації з безпеки:
- Використовуйте багатофакторну автентифікацію;
- Регулярно оновлюйте паролі;
- Обмежте адміністративний доступ;
- Інвестуйте в сучасні системи керування обліковими даними, які забезпечують додатковий рівень безпеки для збереження чутливої інформації.
Своєчасне виявлення підозрілої активності та дотримання стандартів кібергігієни можуть суттєво зменшити ризики компрометації даних.