Have I Been Pwned ajoute 441K comptes volés par le malware RedLine

Evil creepy creature

Le service de notification de violation de données Have I Been Pwned vous permet désormais de vérifier si votre adresse e-mail et votre mot de passe font partie des 441 000 comptes volés lors d’une campagne de vol d’informations à l’aide du malware RedLine.

RedLine est actuellement le malware de vol d’informations le plus largement utilisé, distribué via des campagnes de phishing avec des pièces jointes malveillantes, des escroqueries YouTube et des sites warez/crack.

Une fois installé, le malware RedLine tentera de voler les cookies, les informations d’identification, les cartes de crédit et les informations de saisie semi-automatique stockées dans les navigateurs. Il vole également les informations d’identification stockées dans les clients VPN et les clients FTP, vole les portefeuilles de crypto-monnaie et peut télécharger des logiciels supplémentaires ou exécuter des commandes sur le système infecté.

Les données volées sont collectées dans une archive, appelée « journaux », et téléchargées sur un serveur distant à partir duquel l’attaquant peut les collecter ultérieurement.

Les attaquants utilisent ces journaux pour compromettre d’autres comptes ou les vendre sur des marchés criminels du dark web pour aussi peu que 5 $ par journal.

Journaux RedLine exposés publiquement

Le week-end dernier, chercheur en sécurité Bob Diachenko a trouvé un serveur exposant plus de 6 millions de journaux RedLine collectés en août et septembre 2021. L’acteur de la menace a probablement utilisé ce serveur pour stocker des données volées, mais n’a pas réussi à les sécuriser correctement.

Diachenko a déclaré à EZpublish-france.fr que bien que ces données contiennent 6 millions d’enregistrements, beaucoup avaient la même adresse e-mail utilisée pour différents services.

Cette semaine, de nombreux LastPass ont reçu des e-mails les avertissant que leurs mots de passe principaux pourraient être compromis car ils étaient utilisés pour se connecter à partir d’un emplacement inhabituel.

Diachenko a découvert que de nombreuses informations d’identification LastPass ont été volées et stockées dans les journaux RedLine exposés et a vérifié divers e-mails pour les utilisateurs de LastPass qui ont reçu les e-mails pour voir s’ils étaient répertoriés.

Diachenko nous a dit que le serveur est toujours accessible mais ne semble plus être utilisé par les acteurs de la menace car le nombre de journaux n’a pas augmenté.

Pour permettre aux autres de vérifier plus facilement si un pirate informatique a volé leurs données dans la campagne de malware RedLine exposée, Diachenko a partagé les données avec Troy Hunt, qui les a ajoutées à son service Have I Been Pwned.

Les données RedLine contiennent 441 657 adresses e-mail uniques volées par RedLine qui peuvent désormais être recherchées sur Ai-je été condamné.

Malheureusement, si votre adresse e-mail est répertoriée dans les journaux de logiciels malveillants RedLine, il ne suffit pas de simplement modifier les mots de passe associés à ce compte de messagerie.

Comme RedLine cible toutes vos données, vous devez modifier votre mot de passe pour tous les comptes utilisés sur la machine, y compris les comptes VPN et de messagerie d’entreprise, ainsi que les autres comptes personnels.

De plus, comme RedLine tente de voler des portefeuilles de crypto-monnaie, vous devez immédiatement transférer les jetons vers un autre portefeuille si vous en possédez.

Enfin, si votre e-mail est répertorié dans les enregistrements RedLine, vous devez analyser votre ordinateur à l’aide d’un logiciel antivirus pour détecter et supprimer tout logiciel malveillant installé.