Le ransomware Qilin vole les identifiants de connexion de Chrome
En enquêtant sur une attaque du ransomware Qilin, l’équipe Sophos X-Ops a découvert que les attaquants avaient volé les informations d’identification stockées dans les navigateurs Google Chrome sur des points de terminaison de réseau spécifiques. Le groupe Qilin, actif depuis plus de deux ans, a obtenu l'accès via des informations d'identification compromises et a manipulé les politiques de groupe pour exécuter un script PowerShell afin de capturer les informations d'identification Chrome. Ces scripts étaient activés lorsque les utilisateurs se connectaient pour collecter les données. Les attaquants collectent des informations d'identification à l'aide du script PowerShell. Les cyber-gangsters utilisent le script PowerShell pour collecter les informations d'identification des points de terminaison du réseau et ont pu...