«Лаборатория Касперского» обнаружила новую вредоносную программу, способную расшифровывать TLS-трафик без необходимости перехватывать или видоизменять его.
Предположительно, за операциями этого вредоноса стоит киберпреступная группировка Turla.
Выявленный экспертами антивирусной компании образец получил имя Reductor, впервые его атаки были замечены в апреле.
Исследователи нашли связь этого зловреда с другим трояном — COMpFun.
По словам специалистов «Лаборатории Касперского», Reductor уникален тем, что может манипулировать TLS-сертификатами.
Такой подход открывает возможность для маскировки установщиков вредоносных программ под легитимный софт.
«Помимо обычных для RAT-вредоносов функций (выгрузка, загрузка и выполнение файлов), авторы Reductor оснастили его возможностью манипуляции цифровыми сертификатами.
Благодаря этому зловред может помечать зашифрованный трафик уникальными идентификаторами», — пишет «Лаборатория Касперского».
Исследователи уточнили, что Reductor распространяется либо за счёт инфицирования популярных установщиков (Internet Downloader Manager, WinRAR и прочее), либо через троян COMpFun, который может скачивать и устанавливать другие вредоносные программы в систему.
В отличие от стандартной практики атак «Человек посередине» или кражи ключей, Reductor заражает один из браузеров — Chrome или Firefox.
«Злоумышленники нашли действительно интересный способ помечать TLS-трафик — они вообще не трогают сетевые пакеты.
Вместо этого операторы проанализировали исходный код Firefox и Chrome, благодаря чему нашли способ пропатчить PRNG-функции в памяти процесса», — объясняют специалисты.
Скомпрометировав генератор случайных чисел, вредонос будет в состоянии отслеживать, как шифруется трафик при установке жертвой TLS-подключения.
Поскольку эти данные можно расшифровать, атакующий способен вклиниться в трафик в момент его передачи.
Источник: https://www.anti-malware.ru/news/2019-10-04-1447/30973