image

Kaspersky опубликовала отчет о попытках российской группы Turla отследить шифрованный сетевой трафик путем модификации Chrome и Firefox. Как правило, хакеры не вскрывают браузеры за пределами эксплуатации их уязвимостей.

Данный процесс требует заразить компьютер вирусом-трояном Reductor с удаленным доступом, схожим с COMPfun. Тот модифицирует браузеры для перехвата трафика от хоста, начиная с установки собственных сертификатов. Они патчат псевдо-случайный генератор чисел, используемый для безопасных подключений. Это позволяет злоумышленникам добавлять «отпечаток» к каждому TLS-действию и пассивно отслеживать шифрованный трафик.

Издание ZDNet предположило, что хакеры могли пойти на этот ход на случай обнаружения трояна, когда пользователи не переустанавливают зараженный браузер.

Данные попытки вскрыли еще в апреле 2019 года. Исследования лаборатории показали, что оригинальный Compfun Trojan, скорее всего, используется в качестве загрузчика в одной из схем распространения. Основываясь на этом, компания сделала вывод, что новое вредоносное ПО было разработано авторами COMPfun, которыми, по мнению экспертов Kaspersky, является Turla.

В компании пояснили, что существует два различных метода, используемых злоумышленниками для распространения трояна Reductor. В первом сценарии злоумышленники используют зараженные установщики программного обеспечения с 32 — и 64-разрядными версиями Reductor. Во втором сценарии целевые объекты уже заражены трояном COMpfun, который использует COM CLSID для сохранения. После попадания в адресное пространство браузера троян может получить команду на загрузку дополнительных модулей с C2.

Зараженные установщики были загружены через незашифрованный HTTP. Это позволяет технически заменить файлы на вредоносные в процессе загрузки. Интересно, что некоторые конфигурации содержали очень популярные легитимные веб-сайты.

В компании напомнили, что Turla в прошлом применяла другие инновационные способы достижения своих целей, такие как, например, использование захваченной спутниковой инфраструктуры.

Комментарии (2)


  1. Vasily_T
    09.10.2019 01:12
    +1

    "...COM CLSID..." вероятно речь идет о продуктах на платформе windows?


  1. marataziat
    09.10.2019 13:41

    Как всегда, юзер ставит малварь и чтототам происходит. Я понимаю wannacry был реально фурором. А этих малварей от псевдомамкиных хакеров очень много!