Kaspersky Lab ha descubierto una herramienta maliciosa llamada Reductor, que permite falsificar el generador de números aleatorios utilizado para cifrar datos durante su transmisión desde el navegador a sitios HTTPS. Esto abre la puerta a que los atacantes espíen las actividades de su navegador sin que el usuario lo sepa. Además, los módulos encontrados incluían funciones de administración remota, lo que maximiza las capacidades de este software.
Con esta herramienta, los atacantes llevaron a cabo operaciones de ciberespionaje en misiones diplomáticas en los países de la CEI, principalmente monitoreando el tráfico de usuarios.
La instalación del malware se produce principalmente mediante el programa malicioso COMPfun, previamente identificado como una herramienta del grupo cibernético Turla, o mediante la sustitución de software "limpio" durante la descarga desde un recurso legítimo al ordenador del usuario. Lo más probable es que esto signifique que los atacantes tienen control sobre el canal de red de la víctima.
“Esta es la primera vez que nos encontramos con este tipo de malware, que nos permite eludir el cifrado del navegador y pasar desapercibidos durante mucho tiempo. Su nivel de complejidad sugiere que los creadores de Reductor son profesionales serios. A menudo, este tipo de malware se crea con apoyo gubernamental. Sin embargo, no tenemos evidencia de que Reductor esté relacionado con ningún grupo cibernético específico”, dijo Kurt Baumgartner, principal experto en antivirus de Kaspersky Lab.
Todas las soluciones de Kaspersky Lab reconocen y bloquean con éxito el programa Reductor. Para evitar infecciones, Kaspersky Lab recomienda:
- realizar periódicamente auditorías de seguridad de la infraestructura de TI corporativa;
- instale una solución de seguridad confiable con un componente de protección contra amenazas web que le permita reconocer y bloquear amenazas que intentan penetrar el sistema a través de canales cifrados, como Kaspersky Security for Business, así como una solución de nivel empresarial que detecte amenazas complejas en el nivel de red en una etapa temprana, por ejemplo Kaspersky Anti Targeted Attack Platform;
- conectar el equipo SOC al sistema de inteligencia de amenazas para que tenga acceso a información sobre amenazas, técnicas y tácticas nuevas y existentes utilizadas por los atacantes;
- Realizar periódicamente capacitaciones para mejorar la alfabetización digital de los empleados.
Fuente: 3dnews.ru