Российские хакеры пошли дальше использования уязвимостей и модифицируют Chrome и Firefox для отслеживания зашифрованного трафика пользователей

Многие злоумышленники для взлома просто используют уязвимости в браузерах, но одна группа пошла дальше. Об этом рассказали специалисты «Лаборатории Касперского». 

^[1]

В компании обнаружили, что хакеры из российской группы Turla научилась модифицировать браузеры Chrome и Firefox, чтобы добраться до зашифрованного TLS трафика. 

Сначала злоумышленники заражают систему трояном Reductor для удалённого доступа и используют его, чтобы модицифировать браузеры. В том числе они устанавливают собственные сертификаты безопасности, чтобы перехватить трафик TLS от хоста и затем вставляют генерацию псевдослучайных чисел, которая используется для согласования соединения TLS. 

Это позволяет вставлять цифровой отпечаток браузера к каждому действию TLS и пассивно отслеживать зашифрованный трафик. До конца неизвестно, зачем злоумышленникам изменять что-то в браузере, если они уже установили троян удалённого доступа. По одному из предположений, это делается на случай, если пользователь обнаружит свою оплошность и удалит троян, но не озаботится повторной установкой браузера. 

Троян распространяется в замаскированном виде под Internet Download Manager, WinRAR и другие популярные приложения.

Источник ^[2]