Kaspersky Lab ha scoperto uno strumento dannoso chiamato Reductor, che consente di falsificare il generatore di numeri casuali utilizzato per crittografare i dati durante la loro trasmissione dal browser ai siti HTTPS. Ciò apre la porta agli aggressori per spiare le attività del proprio browser senza che l'utente lo sappia. Inoltre, i moduli trovati includevano funzioni di amministrazione remota, che massimizzano le capacità di questo software.
Utilizzando questo strumento, gli aggressori hanno effettuato operazioni di spionaggio informatico presso missioni diplomatiche nei paesi della CSI, monitorando principalmente il traffico degli utenti.
L'installazione del malware avviene principalmente utilizzando il programma dannoso COMPfun, precedentemente identificato come strumento del gruppo informatico Turla, oppure tramite la sostituzione di software "pulito" durante il download da una risorsa legittima sul computer dell'utente. Ciò significa molto probabilmente che gli aggressori hanno il controllo sul canale di rete della vittima.
“Questa è la prima volta che incontriamo questo tipo di malware, che ci consente di aggirare la crittografia del browser e di non essere rilevati per molto tempo. Il suo livello di complessità suggerisce che i creatori di Reductor sono professionisti seri. Spesso questo tipo di malware viene creato con il sostegno del governo. Tuttavia, non abbiamo prove che Reductor sia correlato a uno specifico gruppo informatico", ha affermato Kurt Baumgartner, principale esperto di antivirus presso Kaspersky Lab.
Tutte le soluzioni Kaspersky Lab riconoscono e bloccano con successo il programma Reductor. Per evitare l'infezione, Kaspersky Lab consiglia:
- condurre regolarmente controlli di sicurezza dell'infrastruttura IT aziendale;
- installare una soluzione di sicurezza affidabile con un componente di protezione dalle minacce Web che consenta di riconoscere e bloccare le minacce che tentano di penetrare nel sistema attraverso canali crittografati, come Kaspersky Security for Business, nonché una soluzione di livello aziendale che rileva minacce complesse a livello livello di rete in una fase iniziale, ad esempio Kaspersky Anti Targeted Attack Platform;
- collegare il team SOC al sistema di intelligence sulle minacce in modo che abbia accesso alle informazioni sulle minacce, sulle tecniche e sulle tattiche nuove ed esistenti utilizzate dagli aggressori;
- condurre regolarmente corsi di formazione per migliorare l’alfabetizzazione digitale dei dipendenti.
Fonte: 3dnews.ru