▾ G11 Media Network: | ChannelCity | ImpresaCity | SecurityOpenLab | GreenCity | Italian Channel Awards | Italian Project Awards | ...
Homepage > Notizia

Kaspersky: scoperto malware che dirotta il traffico HTTPS

Il malware Reductor dirotta il traffico HTTPS manipolando i generatori di numeri "random" dei browser.

Autore: Redazione BitCity

Pubblicato il: 04/10/2019

I ricercatori di Kaspersky hanno scoperto nuovi malware che compromettono l'interazione delle vittime con le pagine web HTTPS tramite patch del generatore di numeri pseudo random utilizzata nel processo di creazione di comunicazioni crittografate tra l'utente e il sito Web. Oltre all'installazione di certificati digitali non autorizzati offre ai criminali la possibilità di spiare l'attività del browser degli utenti.
Nonostante la lettera "S" di HTTPS stia per "Sicuro" e indichi che le informazioni scambiate tra un browser e un sito web non sono accessibili a terzi, esistono molti modi con cui un gruppo di hacker di alto profilo può interferire in questo processo. Reductor è uno strumento sviluppato per questo tipo di intrusione ed è stato utilizzato per lo spionaggio informatico di enti diplomatici nei Paesi della CSI (Comunità degli Stati Indipendenti), principalmente con l’obiettivo di monitorare il traffico Internet dei propri dipendenti. Inoltre, i moduli trovati avevano funzioni RAT (Remote Administration Tool) e le capacità di questo malware sono quasi illimitate.
Per distribuire Reductor sono stati utilizzati due vettori di attacco principali, uno dei quali consiste nel dowload dei moduli tramite il malware COMPfun, precedentemente attribuito a Turla, l'autore di minaccia di lingua russa.
L’altro vettore, invece, è risultato essere più complesso. L’attaccante, infatti, ha avuto l'opportunità di applicare in modo istantaneo una patch a un software “pulito” mentre veniva effettuato il download da siti web legittimi sui computer degli utenti. I software installer sono stati scaricati dai siti web warez che offrono il download gratuito di software pirata. Sebbene gli installer originali disponibili su quei siti web non fossero infetti, una volta scaricati sui PC delle vittime includevano malware. I ricercatori di Kaspersky hanno concluso che la sostituzione è avvenuta in modo istantaneo e che gli sviluppatori di Reductor hanno un certo controllo sul canale di rete del target.
Una volta individuato il percorso per raggiungere il dispositivo della vittima, Reductor manipola i certificati digitali installati, correggendo i generatori di numeri pseudo random dei browser utilizzati per crittografare il traffico proveniente dall'utente verso i siti web HTTPS. Per identificare le vittime, il cui traffico viene dirottato, i criminali aggiungono per ciascuna vittima identificatori unici basati su hardware e software e li contrassegnano con determinati numeri all’interno di un generatore di numeri non così casuale. Una volta che il browser sul dispositivo infetto installa una patch, all’insaputa della vittima, l'autore della minaccia riceve tutte le informazioni e le azioni eseguite con questo browser.
"Non abbiamo mai visto sviluppatori di malware interagire con l’encryption di un browser in questo modo prima d'ora" ha commentato Kurt Baumgartner, security researcher del Global Research and Analysis Team di Kaspersky. "È un modo elegante in un certo senso e ha permesso agli aggressori di passare inosservati per molto tempo. Il livello di sofisticazione del metodo di attacco suggerisce che i creatori del malware Reductor sono molto esperti, il che è abbastanza comune tra gli autori sostenuti da uno stato-nazione. Tuttavia, non siamo stati in grado di trovare indizi tecnici solidi che potessero collegare questo malware ad un threat actor noto. Esortiamo tutte le organizzazioni che si occupano di dati sensibili a rimanere vigili e ad effettuare controlli di sicurezza regolari e approfonditi".

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di BitCity.it iscriviti alla nostra Newsletter gratuita.

Tag:

Notizie che potrebbero interessarti: