Лабораторія Касперського виявила шкідливий інструмент Reductor, який дозволяє підміняти генератор випадкових чисел, що використовується для шифрування даних на етапі їх передачі від браузера до HTTPS-сайтів. Це відкриває зловмисникам можливість потай від користувача стежити за його діями у браузері. Крім того, знайдені модулі мали у своєму складі функції дистанційного адміністрування, що максимально розширює можливості цього ПЗ.
За допомогою цього інструменту зловмисники здійснювали операції кібершпигунства за дипломатичними представництвами в країнах СНД, переважно стежили за трафіком користувачів.
Встановлення зловреду відбувається в основному за допомогою шкідливої програми COMPfun, ідентифікованої раніше як інструмент кіберугруповання Turla, або через заміну чистого ПЗ в процесі скачування з легітимного ресурсу на комп'ютер користувача. Швидше за все, це означає, що зловмисники мають контроль над мережевим каналом жертви.
«Ми вперше зіткнулися з такою шкідливою програмою, що дозволяє обійти шифрування в браузері і довго залишатися непоміченою. Рівень її складності дозволяє припустити, що автори Reductor - серйозні майстри. Часто подібні шкідники створюються за підтримки держави. Однак ми не маємо доказів того, що Reductor має відношення до якогось конкретного кіберугрупування», — зазначив Курт Баумгартнер, провідний антивірусний експерт «Лабораторії Касперського».
Усі рішення «Лабораторії Касперського» успішно розпізнають та блокують програму Reductor. Щоб уникнути зараження, «Лабораторія Касперського» рекомендує:
- регулярно проводити аудит безпеки корпоративної ІТ-інфраструктури;
- встановити надійне захисне рішення з компонентом захисту від веб-загроз, що дозволяє розпізнавати та блокувати загрози, які намагаються проникати в систему через зашифровані канали, наприклад Kaspersky Security для бізнесу, а також рішення корпоративного рівня, що детектує складні загрози на мережевому рівні на ранній стадії, наприклад Kaspersky Anti Targeted Attack Platform;
- підключити SOC-команду до системи інформування про загрози, щоб вона мала доступ до інформації про нові та існуючі загрози, техніки та тактики, що використовуються зловмисниками;
- регулярно проводити тренінги щодо підвищення цифрової грамотності співробітників.
Джерело: 3dnews.ru