“Kasperskiy laboratoriyasi” TLS trafigini ushlab olish yoki o'zgartirish zaruratisiz parol shifrini ocha oladigan yangi zararli dasturni topdi.
Tahmin qilinishicha, ushbu zararli dasturning ishlashi ortida Turla kiber-kriminal guruhi turibdi.
Antivirus kompaniyasi mutaxassislari tomonidan aniqlangan bu model Reductor deb nomlangan, birinchi marta uning hujumlari aprel oyida sezilgan.
Tadqiqotchilar ushbu zararli dastur bilan boshqa Trojan - COMpFun o'rtasidagi aloqani topdilar.
Kasperskiy laboratoriyasi mutaxassislarining ta'kidlashicha, Reductorning noyobligi uning TLS sertifikatlarini boshqarishi mumkinligida.
Ushbu yondashuv zararli dastur o'rnatuvchilarini qonuniy dasturiy ta'minot uchun maskalash imkoniyatini ochadi.
"RAT zararli dasturlarining odatdagi funktsiyalariga qo'shimcha ravishda (fayllarni yuklash, yuklab olish va bajarish), Reductor mualliflari uni raqamli sertifikatlarni boshqarish qobiliyati bilan boyitdilar.
Buning yordamida zararli dastur noyob identifikator bilan shifrlangan trafikni belgilashi mumkin ", deb yozadi Kasperskiy laboratoriyasi.
Tadqiqotchilar ta'kidlashicha, Reductor ommabop o'rnatuvchilar (Internet Downloader Manager, WinRAR va boshqalar) infektsiyasi orqali yoki tizimga boshqa zararli dasturlarni yuklab olish va o'rnatishi mumkin bo'lgan COMpFun troyani orqali tarqaladi. Standart hujum amaliyotidan farqli o'laroq, "o'rtadagi odam" yoki kalitlarni o'g'irlash, Reductor brauzerlardan birini — Chrome yoki Firefox-ni zararlantiradi.
"Tajovuzkorlar TLS trafigini belgilashning antiqa usulini topdilar - ular tarmoq paketlariga umuman tegmaydilar.
Buning o'rniga, operatorlar Firefox va Chrome-ning dastlabki kodlarini tahlil qilishdi va shu bilan protsessorning xotirasida PRNG funktsiyalarini yopish usulini topdilar ", - deya izohlashadi mutaxassislar.
Tasodifiy raqamlar generatorini buzgan holda, zararli dastur jabrlanuvchi TLS ulanishini o'rnatganda trafikni qanday shifrlanganligini kuzatishi mumkin.
Ushbu ma'lumotlar shifrlanishi mumkin bo'lganligi sababli, tajovuzkor uni uzatish paytida trafikka ulanishi mumkin.
Manbaa: https://www.anti-malware.ru/news/2019-10-04-1447/30973