Kaspersky Lab descubriu unha ferramenta maliciosa chamada Reductor, que permite falsificar o xerador de números aleatorios usado para cifrar os datos durante a súa transmisión desde o navegador a sitios HTTPS. Isto abre a porta para que os atacantes espien as actividades do seu navegador sen que o usuario o saiba. Ademais, os módulos atopados incluían funcións de administración remota, o que maximiza as capacidades deste software.
Usando esta ferramenta, os atacantes realizaron operacións de espionaxe cibernética en misións diplomáticas dos países da CEI, vixiando principalmente o tráfico de usuarios.
A instalación do malware prodúcese principalmente mediante o programa malicioso COMPfun, previamente identificado como unha ferramenta do grupo cibernético Turla, ou mediante a substitución de software "limpo" durante a descarga desde un recurso lexítimo ao ordenador do usuario. Isto probablemente significa que os atacantes teñen control sobre a canle de rede da vítima.
"Esta é a primeira vez que atopamos este tipo de malware, que nos permite evitar o cifrado do navegador e permanecer sen ser detectados durante moito tempo. O seu nivel de complexidade fai pensar que os creadores de Reductor son profesionais serios. Moitas veces, este tipo de malware créase co apoio do goberno. Non obstante, non temos probas de que Reductor estea relacionado con ningún grupo cibernético específico", dixo Kurt Baumgartner, principal experto en antivirus de Kaspersky Lab.
Todas as solucións de Kaspersky Lab recoñecen e bloquean correctamente o programa Reductor. Para evitar a infección, Kaspersky Lab recomenda:
- realizar auditorías de seguridade regularmente da infraestrutura de TI corporativa;
- instalar unha solución de seguranza fiable cun compoñente de protección contra ameazas web que lle permite recoñecer e bloquear as ameazas que tentan penetrar no sistema a través de canles cifradas, como Kaspersky Security for Business, así como unha solución de nivel empresarial que detecta ameazas complexas no nivel de rede nunha fase inicial, por exemplo Kaspersky Anti Targeted Attack Platform;
- conectar o equipo SOC ao sistema de intelixencia de ameazas para que teña acceso á información sobre ameazas, técnicas e tácticas novas e existentes empregadas polos atacantes;
- realizar regularmente formación para mellorar a alfabetización dixital dos empregados.
Fonte: 3dnews.ru