Czwartek, 10 października 2019, 20:27
Szkodliwy program Reductor przechwytuje ruch HTTPS poprzez manipulowanie generatorem „losowych” liczb przeglądarek
Chociaż litera „S” w „HTTPS” oznacza „Secure” (bezpieczny), sugerując, że informacje wymieniane pomiędzy przeglądarką a stroną internetową nie są dostępne osobom trzecim, ugrupowanie hakerskie dysponujące odpowiednimi umiejętnościami potrafi znaleźć wiele sposobów pozwalających ingerować w ten proces. Taką ingerencję umożliwia Reductor, który został wykorzystany do szpiegowania placówek dyplomatycznych w krajach Wspólnoty Niepodległych Państw. Co więcej, wykryte moduły posiadały funkcje zdalnej administracji, a możliwości tego szkodnika były niemalże nieograniczone.Osoby rozprzestrzeniające oprogramowanie Reductor wykorzystywały dwa główne wektory ataków, z których jeden obejmował pobieranie modułów za pośrednictwem szkodliwego oprogramowania COMPfun, które wcześniej przypisywane było rosyjskojęzycznemu cybergangowi o nazwie Turla. Drugi wektor okazał się bardziej wyrafinowany: najwyraźniej cyberprzestępcy znaleźli sposób na modyfikowanie w czasie rzeczywistym oprogramowania pobieranego ze stron internetowych na komputer ofiary. Instalatory oprogramowania były pobierane ze stron oferujących bezpłatnie aplikacje, za które w legalnej dystrybucji trzeba zapłacić (tzw. warezy). Chociaż dostępne na tych stronach instalatory nie były pierwotnie zainfekowane, po znalezieniu się na komputerach ofiar zawierały szkodnika. Badacze z firmy Kaspersky doszli do wniosku, że do podmiany dochodzi w locie, a osoby stojące za Reductorem posiadają pewną kontrolę nad kanałem sieciowym swoich celów.
Po przedostaniu się na urządzenie ofiary Reductor manipuluje zainstalowanymi certyfikatami cyfrowymi, modyfikując generatory liczb pseudolosowych przeglądarek wykorzystywane do szyfrowania ruchu przepływającego od użytkownika do stron HTTPS. W celu identyfikacji ofiar, których ruch ma być przechwytywany, cyberprzestępcy dodają dla każdej z nich unikatowe identyfikatory oparte na sprzęcie oraz oprogramowaniu, oznaczając je przy pomocy określonych liczb w generatorze już nie tak losowych liczb. Po zmodyfikowaniu przeglądarki na zainfekowanym urządzeniu cyberprzestępcy otrzymują informacje na temat działań wykonywanych w takiej przeglądarce, podczas gdy ofiara niczego nie podejrzewa.
Wersja do druku
Podobne tematy
Ewolucja szkodliwych programów w II kwartale 2017 r.: w Polsce dominują infekcje lokalne
, 19.09.2017 r.
Ataki DDoS jako zasłona dymna dla innych szkodliwych działań
, 24.02.2017 r.
WildFire — szkodliwy program ransomware z polskim akcentem
, 05.09.2016 r.
Serwery HTTPS podatne na atak
, 02.03.2016 r.
Microsoft stara się zablokować fałszywy certyfikat HTTPS
, 17.03.2015 r.
Microsoft niszczy szkodliwy kod Jenxcus i Bladabindi
, 02.07.2014 r.Starsze
IBM prezentuje nowy interfejs pamięci dla serwerów, 22:34
YouTube pomyłkowo ocenzurował setki filmów, 22:33
Nowsze
Nieco ponad 1% „szumu informacyjnego” sieci firmowych to zamaskowane ataki ukierunkowane, 20:28
Trzy szpitale w Alabamie zaatakowane przez ransomware Ryuk, 20:29
Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.
Brak komentarzy. Może warto dodać swój własny?
Copyright © 2002-2024 | Prywatność | Load: 1.74 | SQL: 17 | Uptime: 194 days, 18:40 h:m |
Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl