Nuevo malware Reductor compromete el tráfico TLS

Apodado Reductor, el malware parece compartir un código similar al troyano COMpfun, que se documentó por primera vez en 2014 y está estrechamente asociado con el presunto grupo ruso APT Turla , también conocido como Oso Venenoso y Uroburos . Por esta y otras razones, los investigadores de Kaspersky Lab que descubrieron Reductor creen que Turla probablemente está detrás de esta sofisticada amenaza.

Una campaña de malware Reductor dirigida a entidades en Rusia y Bielorrusia ha estado operativa desde abril de 2019 y todavía estaba activa a partir de agosto, según un informe de publicación de blog esta semana del equipo del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky.

Kaspersky descubrió que Reductor se propaga cuando una computadora objetivo descarga una distribución de software de fuentes de terceros, o mediante un programa descifrador / cuentagotas en máquinas que ya están infectadas con COMpfun.

En los casos en que las máquinas se infectaron durante las distribuciones de software, Kaspersky determinó que los sitios de terceros desde los que se descargaron no se vieron comprometidos, y los instaladores originales no se infectaron. «Esto nos permitió confirmar que los operadores de Reductor tienen cierto control sobre el canal de red del objetivo y podrían reemplazar a los instaladores legítimos con los infectados sobre la marcha», explica Kaspersky en su informe.

Como eso no era lo suficientemente inteligente, los actores también encontraron lo que Kaspersky llamó una forma «inteligente» de comprometer y espiar las comunicaciones HTTPS de los hosts infectados sin siquiera tocar los paquetes de red. Resulta que su solución es usar un desensamblador de longitud de instrucciones Intel integrado para instalar parches maliciosos en los navegadores Firefox o Chrome de las víctimas, para sabotear sus funciones de generación de números pseudoaleatorios (PRNG).

«Los navegadores usan PRNG para generar la secuencia ‘al azar del cliente’ para el paquete de red al comienzo del protocolo de enlace TLS», explica Kaspersky. A través del proceso de parche malicioso, «Reductor agrega identificadores únicos cifrados basados ​​en hardware y software para las víctimas a este campo ‘cliente aleatorio’». Estas ID de víctimas se construyen tomando prestados varios valores o puntos de datos de certificados digitales maliciosos introducidos por el malware , así como las propiedades de hardware de la máquina víctima.

«Turla ha mostrado en el pasado muchas formas innovadoras de lograr sus objetivos, como el uso de infraestructura satelital secuestrada», concluye la publicación del blog. «Esta vez, si tenemos razón en que Turla es el actor detrás de esta nueva ola de ataques, entonces con Reductor ha implementado una forma muy interesante de marcar el tráfico TLS cifrado de un host parcheando el navegador sin analizar los paquetes de red». La victimología de esta nueva campaña se alinea con los intereses anteriores de Turla «.

 

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies