Смена шифрования в Chrome 80 блокирует хищение паролей AZORult!

Появляются свидетельства того, что едва замеченное изменение, внесенное в Chrome 80, выпущенное 4 февраля, могло нарушить работу чрезвычайно успешных вредоносных программ AZORult, связанных с данными и профилями пользователей.

AZORult впервые появился в 2016 году, и с тех пор он использовался для передачи огромного количества информации от жертв, включая все, от данных криптовалюты, паролей, истории веб-браузера и файлов cookie, до учетных данных для клиентов FTP, настольных Telegram и чатов Skype.

Вы устанавливаете что то, AZORult попытается украсть его, часто выдавая себя за законное программное обеспечение, такое как установщик для ProtonVPN.

В 2018 году количество вредоносных программ пошло на относительный спад, и теперь, согласно исследованию израильской компании по безопасности Kela, разговоры на криминальных форумах позволяют предположить, что киберпреступники считают, что переход Chrome 80 на шифрование локально сохраненных паролей и файлов cookie с использованием AES-256 уничтожил попытки вредоносных программ украсть данные навсегда.

При работе в Windows Chrome ранее использовал общесистемный API защиты данных (DPAPI) от Microsoft, который оказался уязвимым для популярных инструментов взлома учетных данных, таких как Mimikatz.

«Все старые взломанные версии разных «тыретелей» закончились, - сказала Кела на русском языке на форуме по криминалу.

   Очевидно, проблема AZORult заключается в том, что в результате растущей фрагментации его развитие, похоже, застопорилось. Говорят, что другие похитители данных, такие как Racoon и Kpot, эволюционировали, чтобы справиться с этим изменением, хотя насколько успешно это не объясняется.

Доказательства гибели AZORult подтверждаются цифрами Келы, показывающими, что на криминальном рынке Genesis, где продаются профили пользователей и учетные данные, произошло резкое падение рынка, связанного с AZORult.

Genesis рассматривается некоторыми охранными компаниями как одна из самых инновационных криминальных площадок, потому что он торгует в основном «отпечатками пальцев» пользователей, которые преступники могут использовать для подражания или подделки жертв. Это включает в себя уникальные аспекты их поведения в Интернете, IP-адреса, установки программного обеспечения и компьютерного оборудования.

До сих пор для этого использовался AZORult. В интервью ZDNet Рейл Лаеб из Kela сказал, что база данных украденных учетных данных Genesis сократилась с 335 000 до примерно 230 000 за несколько недель.

В то время как рынок вряд ли исчезнет, ​​эволюция Chrome, вероятно, будет означать смертельный звон для AZORult.

Без явного наследника, чтобы исправить глубокие проблемы, вызванные новым обновлением Chrome, похоже что хакеры - если мы экстраполируем из Genesis - на самом деле решили перейти к новым «похитителям».

Переключение Chrome на AES-256 также влияет на другие браузеры на базе Chromium, включая новый браузер Microsoft Edge, Opera и Brave.

Единственный способ для AZORult приспособиться к этому изменению - это исправить исходный код, но он больше недоступен.

Тем не менее, функция кражи данных AZORult будет взята на вооружение большим количеством желающих конкурентов.

Менеджеры паролей браузера безопасны?

Очевидно, нет. Вот почему самый простой способ избежать проблемы слабых сторон диспетчера паролей в браузере - не использовать их вообще, вместо этого выбрав полноценный менеджер паролей.

В отличие от браузеров, это расширения, предназначенные для защиты паролей. Они предлагают более сложный дизайн безопасности и будут работать на разных платформах, браузерах и компьютерах. Дополнительная безопасность, которую они предлагают по сравнению с хранилищами паролей браузера, более чем стоит минимального времени, потраченного на их настройку.

Предупреждение: Вся информация представлена исключительно в образовательных целях.