Come funziona RedLine, il malware che ruba le password

Non bastavano gli attacchi phishing e smishing che quotidianamente continuano a farsi largo sui dispositivi degli utenti di tutto il mondo. La nuova minaccia del web prende il nome di RedLine e porta con sé alcune conseguenze da non sottovalutare, in quanto sfrutta una funzione particolarmente ricorrente e utilizzata dagli utenti nei più diffusi browser Internet: il salvataggio delle password per accedere in automatico sul web.

A indagare sulla pericolosità del malware RedLine sono stati i ricercatori di sicurezza AhnLab ASEC, che ne hanno illustrato il meccanismo di funzionamento attraverso un dettagliato report condiviso su Internet negli ultimi giorni del 2021. Una notizia che, oltre a confermare la crescita del cybercrimine, offre una implicita consapevolezza del fatto che il fenomeno degli attacchi informatici continuerà purtroppo a minacciare la nostra vita digitale, costringendo gli utenti a tenere alta la soglia di attenzione quando navigano su Internet.

Come anticipato in queste righe, RedLine è un malware che si comporta in modo diverso rispetto ad alcuni analoghi virus che abbiamo visto lo scorso anno.

Mentre Joker prende ad esempio di mira i dispositivi Android, sfruttando alcune app "civetta" caricate sul Play Store per installare da remoto servizi a pagamento sulla scheda SIM dell'utente preso di mira, RedLine guarda invece ai browser web basati su Gecko o Chromium (come Google Chrome, Microsoft Edge ad esempio) per mettere a segno i propri propositi criminosi. In particolare, il malware ruba cookie, credenziali (nomi utente e password) e carte di credito archiviate nei programmi per accedere su Internet, ma anche credenziali e file FTP e IM da un dispositivo; ha anche il potere di scaricare ed eseguire ulteriori malware e acquisire file archiviati sul sistema operativo, e accedere ad alcune informazioni di sistema (tra cui ad esempio indirizzi IP, nomi utente, layout di tastiera, impostazioni UAC).

Secondo alcune ricostruzioni, RedLine è apparso per la prima volta sul dark web russo durante il lockdown del 2020, proprio quando le restrizioni dei governi di tutto il mondo hanno rilanciato lo smartworking e la didattica a distanza.

La sua presenza sul web si rincorre quindi da qualche tempo, ma nell'ultimo periodo si è propagato soprattutto tramite file XLL dannosi distribuiti attraverso la piattaforma cloud Google Drive.

Ad accrescere la pericolosità di RedLine sono inoltre due fattori: la diffusione, visto che può essere acquistato su diversi forum di criminalità criminalizzata versando un corrispettivo economico che oscilla tra i centocinquanta e i duecento dollari, a seconda della versione; ma anche la superfluità di conoscere rudimenti di informatica, considerato che – come spiegato dallo stesso report di AhnLab ASEC – l'installazione è alla portata di tutti e con qualche passaggio si avrà a disposizione un potente strumento che ha lo scopo di trafugare i dati di accesso degli utenti relativi ai servizi presenti sul web.

I criminali informatici provano a infettare i computer degli utenti attraverso un software come RedLine Stelear (ma conosciuto più volgarmente, come abbiamo visto finora, anche come semplice RedLine) per ottenere dati di accesso (rubati) e in alcuni casi anche infettando lo stesso dispositivi tramite l'installazione di ulteriori malware.

Le informazioni così ottenute vengono poi sfruttate per accedere a vari account della vittima (a titolo esemplificativo, i profili dell'utente iscritto sui social network, email, account bancari), diffondere campagne di spam e vendere i dati sul dark web.

Come scoperto dai ricercatori di AhnLab ASEC, RedLine analizza il contenuto del file Login Data utilizzati in tutti i browser basati su Chromium. Non soltanto si impadronisce quindi delle credenziali memorizzate dentro al password manager del browser, ma mostra anche interesse sui siti web per i quali l'utente ha deciso di non salvare alcuna credenziale, riepilogati appunto nello stesso file. Così facendo, i cybercriminali possono sfruttare anche queste seconde informazioni per risalire al fatto che un dato utente dispone di un account su un dato sito web e incentivano lo stesso malintenzionato a eseguire ulteriori attacchi phishing al fine di impossessarsi di quelle credenziali, sfruttando la meccanica dell'ingegneria sociale di cui abbiamo parlato a proposito dello smishing.

Proprio l'ingegneria sociale è il principale vettore che permette a RedLine di colpire gli utenti. Tra i modi più recenti figura anche un file malevole trasmesso tramite Google Drive, consistente in documenti Office portatori di codice dannoso e file XLL, un componente aggiuntivo che consente agli sviluppatori di ampliare le funzionalità di Microsoft Excel. Questi file vengono poi scaricati dalla vittima, che viene ingannata ad eseguire il download attraverso le tecniche di pressione psicologica più varie.

La pericolosità di RedLine è spiegata nell'esempio del report, relativo al furto di un account VPN di un dipendente in smartworking, credenziali utilizzate tre mesi dopo dai malintenzionati per compromettere l'intera infrastruttura aziendale. 

Per difendersi dal malware RedLine è opportuno seguire alcuni semplici ed efficaci rimedi, tra cui evitare di salvare gli accessi nei browser web. Consigliato è invece affidarsi a dei gestori di password esterni sicuri come ad esempio Keepass e attivare l'autenticazione a due fattori sugli account.

RedLine si propaga inoltre attraverso vettori come file esterni, artatamente distribuiti dai malintenzionati tramite campagne phishing inviate tramite posta elettronica o, come abbiamo visto, su Google Drive. Valgono quindi le più comuni pratiche per difendersi dagli attacchi phishing, tra cui non cliccare di getto sui link ma controllare attentamente l'indirizzo completo del dominio e scaricare gli allegati soltanto dopo avere accertato l'affidabilità della fonte o del mittente.