RedLine Stealer, el “malware” que convierte en mala idea guardar las contraseñas en el navegador

Frente a la minoría de usuarios que emplea soluciones de “software” como gestores de contraseñas para proteger su información sensible, la mayoría utiliza el navegador, mayormente Chrome, para guardarlas y tenerlas a mano cuando se necesitan. La función de almacén de contraseñas es muy cómoda, pero poco segura ante “malware” avanzado como RedLine Stealer. La firma de seguridad AhnLab ASEC ha advertido sobre este peligroso “software” malicioso que roba con facilidad las contraseñas almacenadas en el navegador y puede ser comprado por cualquiera en foros de “malware” por tan solo 200 dólares.

RedLine Stealer fue detectado por primera vez en la “dark web” rusa en marzo de 2020. Un usuario bajo el nombre de REDGlade publicó entonces las características de este “malware” e informó que vendía la herramienta por un precio entre los 150 y los 200 dólares. Se desconoce el número de personas que han podido adquirir el “malware” desde entonces y cuantas veces ha podido ser utilizado, pero sí que ha sido distribuido a través de correos fraudulentos (“phishing”), anuncios de Google y disfrazándolo como “software” para edición de imágenes. Por ejemplo, en el mercado de la “dark web” “2 easy”,la mitad de la información vendida fue robada usando este RedLine Stealer, según informa Bleeping Computer.

Una vez el “malware” está instalado en el ordenador de la víctima, por los métodos antes mencionados y otros como la distribución a través de archivos de tipo Excel, tiene como objetivo el archivo “Login Data” que se encuentra en todos los navegadores basados en Chromium (Chrome, Edge, Opera, Vivaldi) y Gecko (Firefox).

Se trata de una base de datos SQlite donde se almacenan los nombres de usuario y las contraseñas. En este archivo también se guardan las URL a las que corresponden los datos de acceso y el número de veces que se han usado. Y las capacidades de RedLine Stealer van más allá de los usuarios y contraseñas. También puede robar la información de las tarjetas de crédito ycarteras de criptomonedas almacenadas en el navegador, así como descargar archivos en el equipo infectado y también cargarlos desde allí.

AhnLab ASEC ilustra la peligrosidad de RedLine Stealer con un caso de un cliente de la firma de seguridad. Una empresa cuya VPN fue accedida por intrusos a través del ordenador de uno de los empleados que trabajaba en remoto.

El equipo con el que el trabajador accedía a la VPN era de uso familiar y otra persona descargó un “crack” (programa que rompe la protección de un “software” para poder instalarlo sin licencia) para el “plug-in” Pitch-Shifting del programa de edición de sonido Waves. Al ejecutarlo, Redline Stealer quedó instalado en el ordenador sin que el antivirus lo detectara. Tres meses más tarde, la VPN de la empresa fue “hackeada” con la información obtenida con el “malware”.