Koliko god bilo jednostavno i primamljivo čuvanje lozinki u Internet pregledaču, pokazalo se da je to loša ideja. Sigurnosna kompanija AhnLab je otkrila zlonamjerni softver pod nazivom Redline krade sačuvane lozinke u Internet pregledaču i šalje serverima pod kontrolom napadača. Naveden je primjer korisnika koji je radio od kuće, kod koga je Redline ukrao podatke za VPN pristup kompaniji u kojoj radi, zaobilazeći antivirusni softver. Podaci su kasnije iskorišteni u napadu na kompaniju.
 |
| Redline izgled na Telegram kanalu |
Prisutan je u sajber prostoru od 2020. godine i veoma aktivan tokom 2021. godine uz konstantno dodavanje novih mogućnosti predstavlja ozbiljnu prijetnju zbog svoje svestranosti. Provjerom na na Internet stranici Have I Been Pwned koja omogućava korisnicima da provjeri da li su njihovi podaci ugroženi, može se vidjeti da je trenutno ugroženo preko 441 500 korisničkih naloga.
 |
| Source: Have I Been Pwned |
Ovaj zlonamjerni softver krade korisnička imena i lozinke, kolačiće, podatke platnih kartica sačuvane u Internet pregledačima, fajlove, kriptovalutne novčanike, FTP i VPN prijave preko pregledača kao što su Chrome, Edge, Firefox i Opera. Pored toga, može još da izvršava razne komande, pokreće druge zlonamjerne softvere (npr. ransomware) i pravi snimke korisničkog ekrana. Funkcioniše na pretplatničkom sistemu MaaS (malware-as-a-service) i dolazi u dvije verzije: lite sa cijenom od $150 i pro $200, uz mogućnost mjesečne preplate od $100.
Redline je svestran zlonamjerni softver sa različitim vektorima napada koje je teško identifikovati zbog mnogo malih napadačkih kampanja, na šta utiče pretplatnički sistem dajući većem broju napadača priliku za različite napade. Ipak neki od identifikovanih vektora su:
- Posebno izmijenjene instalacije popularnih aplikacija kao što su Telegram, Signal i Discord.
- Phishing napadi preko elektronske pošte.
- Zloupotrebom Google reklama i lažne Internet stranice.
- Kampanje sa zloupotrebom NFT-a (Non-Fungible Token).
- Distribucija uz drugi zlonamjerni softver.
Za korisnike bi bilo najbolje da koriste namjenske menadžere lozinke koji sve lozinke čuvaju u šifriranom fajlu zahtjevajući glavnu lozinku za otključavanje. Uz to bi trebalo koristi autentifikaciju u više koraka gdje god je dostupna, jer ovo može da onemogući napadača da preuzme kompromitovane naloge.
