Российские хакеры модифицировали Chrome и Firefox. Они отслеживают шифрованный трафик пользователей

в 19:54, , рубрики: Firefox, Google Chrome, kaspersky lab, TLS, trojan, Turla, антивирусная защита, браузеры, информационная безопасность, хакеры

image

Kaspersky Lab опубликовала отчет о попытках российской группы Turla отследить шифрованный сетевой трафик путем модификации Chrome и Firefox. Как правило, хакеры не вскрывают браузеры за пределами эксплуатации их уязвимостей.

Данный процесс требует заразить компьютер вирусом-трояном Reductor с удаленным доступом, схожим с COMPfun. Тот модифицирует браузеры для перехвата трафика от хоста, начиная с установки собственных сертификатов. Они патчат псевдо-случайный генератор чисел, используемый для безопасных подключений. Это позволяет злоумышленникам добавлять «отпечаток» к каждому TLS-действию и пассивно отслеживать шифрованный трафик.

Издание ZDNet предположило, что хакеры могли пойти на этот ход на случай обнаружения трояна, когда пользователи не переустанавливают зараженный браузер.

Данные попытки вскрыли еще в апреле 2019 года. Исследования лаборатории показали, что оригинальный Compfun Trojan, скорее всего, используется в качестве загрузчика в одной из схем распространения. Основываясь на этом, компания сделала вывод, что новое вредоносное ПО было разработано авторами COMPfun, которыми, по мнению экспертов Kaspersky, является Turla.

В компании пояснили, что существует два различных метода, используемых злоумышленниками для распространения трояна Reductor. В первом сценарии злоумышленники используют зараженные установщики программного обеспечения с 32 — и 64-разрядными версиями Reductor. Во втором сценарии целевые объекты уже заражены трояном COMpfun, который использует COM CLSID для сохранения. После попадания в адресное пространство браузера троян может получить команду на загрузку дополнительных модулей с C2.

Зараженные установщики были загружены через незашифрованный HTTP. Это позволяет технически заменить файлы на вредоносные в процессе загрузки. Интересно, что некоторые конфигурации содержали очень популярные легитимные веб-сайты.

В компании напомнили, что Turla в прошлом применяла другие инновационные способы достижения своих целей, такие как, например, использование захваченной спутниковой инфраструктуры.

Автор: maybe_elf

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js