Trojan Reductor i śledzenie szyfrowanego ruchu w Chrome lub Firefox

[Grandalf]

W sieci pojawił się nowy atak na przeglądarki internetowe. Szkodliwy program zachowuje się jak aktualizacja i podmienia wewnętrzne komponenty

Zaloguj lub Zarejestruj się aby zobaczyć!

lub

Zaloguj lub Zarejestruj się aby zobaczyć!

. To pozwala atakującym śledzić szyfrowany ruch.

Atak zaczyna się od infekcji trojanem Reductor, dającym cyberszpiegom zdalny dostęp do systemu. Następnie przestępcy modyfikują generator liczb pseudolosowych przeglądarki. Możesz wyobrazić sobie, że szyfrowany ruch zamykany jest w pudełku na cyfrową kłódkę. Zmieniając zachowanie generatora, atakujący graweruje na niej serduszko.

Wszystkie pakiety z tej przeglądarki będą miały ten sam znak na wciąż działającej kłódce. Szyfrowane połączenia są nawiązywane prawidłowo. Wspomniane serduszko to kilka liczb, pomagających rozpoznać daną ofiarę infekcji, można więc śledzić, jakie strony odwiedza. Identyfikator zawiera między innymi zakodowana wersja BIOS-u komputera, karty graficznej i numer dysku.

Nie jest jasne, po co są wydobywane te dane, gdyż po infekcji trojanem napastnicy i tak mogą podsłuchiwać ruch sieciowy. Być może to kolejna faza bardziej złożonego ataku. Specjaliści z Kaspersky Lab

Zaloguj lub Zarejestruj się aby zobaczyć!

, że to dodatkowe zabezpieczenie – trojan Reductor może zostać usunięty przez program antywirusowy, ale drobna zmiana plików przeglądarki zostanie niezauważona.

Nie można też wykluczyć, że szpiedzy po prostu obserwują ruch w sieci. Po udanym ataku wiedzą, że wszystkie transmisje oznaczone serduszkiem pochodzą z jednej maszyny.

Cały artykuł:

Zaloguj lub Zarejestruj się aby zobaczyć!

Analiza Kaspersky:

Zaloguj lub Zarejestruj się aby zobaczyć!