在调查最近一家公司的内部数据泄露事件时,AhnLabASEC分析团队确认用于访问公司网络的VPN帐户是从在家工作的人那里获得的在员工的计算机上受到损害。遭受损失的公司为在家工作的员工提供虚拟专用网络服务,允许他们访问公司内部网络,员工使用提供的笔记本电脑或个人电脑通过虚拟专用网络连接到公司内部网络。目标员工使用网页浏览器提供的密码管理功能,在网页浏览器上保存和使用虚拟专网网站的帐号和密码。在这样做的过程中,这些PC感染了以帐户凭据为目标的恶意软件,危及各种网站的帐户和密码,包括公司的虚拟专用网络帐户。三个月后,被攻陷的虚拟专用网络账户被用于侵入公司的内部网络。为方便用户,网络浏览器会存储用户访问网站时输入的帐号和密码,并提供再次访问时自动输入的功能。在基于Chromium的网络浏览器(Edge、Chrome)上,默认情况下启用密码管理。登录时输入的信息通过密码管理功能保存在登录数据文件中。Web浏览器文件路径:ChromeC:\Users\EdgeC:\Users\OperaC:\Users\WhaleC:\Users\登录数据是一个SQLite数据库文件,帐号和密码信息保存在登录表中。登录表中除了账号和密码外,还保存了保存的时间、登录网站的URL、访问次数。如果用户拒绝保存某个网站的账号密码信息,记住这一点,blacklisted_by_user字段会被设置为1,username_value和password_value字段将没有账号密码,只保存origin_url信息到登录表中间。发现目标员工的电脑在家中被全家人使用,且未进行安全管理。很早以前就感染了各种恶意软件,虽然安装了其他公司的反恶意软件程序,但未能正确检测和修复。在受感染的恶意软件中,有一种名为RedlineStealer的恶意软件。RedlineStealer是一种信息窃取程序,它收集保存在网络浏览器中的帐户凭据,于2020年3月首次出现在俄罗斯暗网上。一位名叫REDGlade的用户上传了一篇宣传帖子,解释了RedlineStealer中包含的各种功能,并以150-200美元的价格出售这款黑客工具。由于RedlineStealer被不分青红皂白地出售给暗网上的不明人士,因此很难将恶意软件的创建者与攻击者直接联系起来。除了恶意软件之外,使用RedlineStealer泄露的凭据也在暗网上出售。在这种情况下,RedlineStealer伪装成Soundshifter的破解程序在网上传播,Soundshifter是Waves公司的音高转换程序。用户输入破解、免费等软件名称搜索文件,下载并运行下载的文件,从而导致感染恶意文件。
