Kaspersky Lab a découvert un outil malveillant appelé Reductor, qui permet d'usurper le générateur de nombres aléatoires utilisé pour crypter les données lors de leur transmission du navigateur vers les sites HTTPS. Cela ouvre la porte aux attaquants pour espionner les activités de leur navigateur à l’insu de l’utilisateur. De plus, les modules trouvés incluaient des fonctions d'administration à distance, ce qui maximise les capacités de ce logiciel.
Grâce à cet outil, les attaquants ont mené des opérations de cyberespionnage auprès des missions diplomatiques des pays de la CEI, principalement en surveillant le trafic des utilisateurs.
L’installation du malware se fait principalement à l’aide du programme malveillant COMPfun, précédemment identifié comme un outil du cybergroupe Turla, ou par substitution d’un logiciel « propre » lors du téléchargement depuis une ressource légitime vers l’ordinateur de l’utilisateur. Cela signifie très probablement que les attaquants contrôlent le canal réseau de la victime.
« C'est la première fois que nous rencontrons ce type de malware, qui nous permet de contourner le cryptage du navigateur et de rester longtemps indétectables. Son niveau de complexité suggère que les créateurs de Reductor sont des professionnels sérieux. Ces logiciels malveillants sont souvent créés avec le soutien du gouvernement. Cependant, nous n’avons aucune preuve que Reductor soit lié à un cybergroupe spécifique », a déclaré Kurt Baumgartner, principal expert antivirus chez Kaspersky Lab.
Toutes les solutions de Kaspersky Lab reconnaissent et bloquent avec succès le programme Reductor. Pour éviter toute infection, Kaspersky Lab recommande :
- effectuer régulièrement des audits de sécurité de l'infrastructure informatique de l'entreprise ;
- installez une solution de sécurité fiable avec un composant de protection contre les menaces Web qui vous permet de reconnaître et de bloquer les menaces qui tentent de pénétrer dans le système via des canaux cryptés, comme Kaspersky Security for Business, ainsi qu'une solution de niveau entreprise qui détecte les menaces complexes au niveau au niveau du réseau à un stade précoce, par exemple Kaspersky Anti Targeted Attack Platform ;
- connecter l'équipe SOC au système de renseignement sur les menaces afin qu'elle ait accès aux informations sur les menaces, techniques et tactiques nouvelles et existantes utilisées par les attaquants ;
- organiser régulièrement des formations pour améliorer la culture numérique des collaborateurs.
Source: 3dnews.ru