Удалёнка: опыт и лайфхаки
8 октября 2019

Российские хакеры модифицировали Chrome и Firefox. Они отслеживают шифрованный трафик пользователей

FirefoxИнформационная безопасностьАнтивирусная защитаGoogle ChromeБраузеры
image

Kaspersky опубликовала отчет о попытках российской группы Turla отследить шифрованный сетевой трафик путем модификации Chrome и Firefox. Как правило, хакеры не вскрывают браузеры за пределами эксплуатации их уязвимостей.

Данный процесс требует заразить компьютер вирусом-трояном Reductor с удаленным доступом, схожим с COMPfun. Тот модифицирует браузеры для перехвата трафика от хоста, начиная с установки собственных сертификатов. Они патчат псевдо-случайный генератор чисел, используемый для безопасных подключений. Это позволяет злоумышленникам добавлять «отпечаток» к каждому TLS-действию и пассивно отслеживать шифрованный трафик.

Издание ZDNet предположило, что хакеры могли пойти на этот ход на случай обнаружения трояна, когда пользователи не переустанавливают зараженный браузер.

Данные попытки вскрыли еще в апреле 2019 года. Исследования лаборатории показали, что оригинальный Compfun Trojan, скорее всего, используется в качестве загрузчика в одной из схем распространения. Основываясь на этом, компания сделала вывод, что новое вредоносное ПО было разработано авторами COMPfun, которыми, по мнению экспертов Kaspersky, является Turla.

В компании пояснили, что существует два различных метода, используемых злоумышленниками для распространения трояна Reductor. В первом сценарии злоумышленники используют зараженные установщики программного обеспечения с 32 — и 64-разрядными версиями Reductor. Во втором сценарии целевые объекты уже заражены трояном COMpfun, который использует COM CLSID для сохранения. После попадания в адресное пространство браузера троян может получить команду на загрузку дополнительных модулей с C2.

Зараженные установщики были загружены через незашифрованный HTTP. Это позволяет технически заменить файлы на вредоносные в процессе загрузки. Интересно, что некоторые конфигурации содержали очень популярные легитимные веб-сайты.

В компании напомнили, что Turla в прошлом применяла другие инновационные способы достижения своих целей, такие как, например, использование захваченной спутниковой инфраструктуры.
Теги: kaspersky trojan tls turla google chrome firefox хакеры
Хабы: Firefox Информационная безопасность Антивирусная защита Google Chrome Браузеры
+12
13,3k 5
Комментарии 2
Реклама

Рекомендуем