A Kaspersky Lab descobriu uma ferramenta maliciosa chamada Reductor, que permite falsificar o gerador de números aleatórios usado para criptografar dados durante sua transmissão do navegador para sites HTTPS. Isso abre a porta para que invasores espionem as atividades do navegador sem que o usuário saiba. Além disso, os módulos encontrados incluíam funções de administração remota, o que maximiza as capacidades deste software.
Utilizando esta ferramenta, os atacantes realizaram operações de espionagem cibernética em missões diplomáticas nos países da CEI, monitorizando principalmente o tráfego de utilizadores.
A instalação do malware ocorre principalmente por meio do programa malicioso COMPfun, previamente identificado como uma ferramenta do grupo cibernético Turla, ou por meio da substituição por software “limpo” durante o download de um recurso legítimo para o computador do usuário. Provavelmente, isso significa que os invasores têm controle sobre o canal de rede da vítima.
“Esta é a primeira vez que encontramos esse tipo de malware, que nos permite contornar a criptografia do navegador e permanecer indetectados por muito tempo. Seu nível de complexidade sugere que os criadores do Redutor são profissionais sérios. Freqüentemente, esse malware é criado com apoio governamental. No entanto, não temos evidências de que o Reductor esteja relacionado a algum grupo cibernético específico”, disse Kurt Baumgartner, principal especialista em antivírus da Kaspersky Lab.
Todas as soluções da Kaspersky Lab reconhecem e bloqueiam com êxito o programa Redutor. Para evitar a infecção, a Kaspersky Lab recomenda:
- realizar regularmente auditorias de segurança da infraestrutura corporativa de TI;
- instale uma solução de segurança confiável com um componente de proteção contra ameaças da web que permite reconhecer e bloquear ameaças que tentam penetrar no sistema através de canais criptografados, como o Kaspersky Security for Business, bem como uma solução de nível empresarial que detecta ameaças complexas no nível de rede numa fase inicial, por exemplo Kaspersky Anti Targeted Attack Platform;
- conectar a equipe SOC ao sistema de inteligência de ameaças para que ela tenha acesso a informações sobre ameaças, técnicas e táticas novas e existentes usadas pelos invasores;
- realizar regularmente treinamentos para melhorar a alfabetização digital dos funcionários.
Fonte: 3dnews.ru