Malware | Kaspersky Lab | Šifrování

Kaspersky varuje před malwarem Reductor – umí dekódovat provoz šifrovaný přes TLS

Kaspersky varuje před malwarem Reductor – umí dekódovat provoz šifrovaný přes TLS

Odborníci z antivirové společnosti Kaspersky oznámili odhalení nové škodlivé aplikace. Malware pojmenovali jako Reductor a jeho největší nebezpečí spatřují v tom, že dokáže dekódovat provoz šifrovaný přes kryptografický protokol TLS (Transport Layer Security).

Reductor je, s ohledem na profesionální provedení, považován za dílo hackerské skupiny Turla. Ta je známa vývojem různých aplikací, jejichž cílem je špionáž a získávání citlivých informací. V minulosti se proslavila například distribucí malwaru prostřednictvím komentáře na Instagramu či backdoorem LightNeuron, přes který útočníci získávali plný přístup k Exchange Serverům.

Záludný Reductor

Nové škodlivé aplikace vznikají prakticky nepřetržitě, takže je na místě otázka: proč se bezpečnostní experti rozhodli upozornit právě na tuto? Odpověď je poměrně prostá: unikátnost Reductoru spočívá v jeho schopnosti manipulovat s TLS certifikáty.

Nebezpečnost spočívá především v možnosti infikovat cíl dalšími instalátory škodlivých aplikací, které budou z pohledu operačního systému považovány za legitimní software. Malware zpravidla pochází z warezových serverů, kde byl součástí balíčků populárních programů, jako je například WinRAR.

„Kromě typických funkcí, jako je nahrávání, stahování a spouštění souborů, věnují autoři Reductoru velké úsilí manipulaci s digitálními certifikáty a ovlivňování odchozího TLS provozu pomocí jedinečných identifikátorů souvisejících s hostitelem,“ vysvětluje Kaspersky v tiskové zprávě.

Dlouho nepovšimnutá hrozba

Malware se nesnaží zasahovat do síťového provozu prostřednictvím útoku „man-in-the middle“. Reductor infikuje přímo webový prohlížeč, přičemž podporuje Mozillu Firefox a Google Chrome. V něm kompromituje generátor náhodných čísel, díky čemuž může zjišťovat, jak bude šifrován provoz, když oběť naváže připojení přes TLS,

Tímto způsobem dokáže malware snadno dekódovat veškerý provoz a zjistit obsah přenášených dat. Následně ho může odeslat zpět na řídící server. Protože útočník nemusí během přenosu manipulovat se síťovými pakety, je škodlivý program schopen fungovat bez toho, aby na něj upozornily bezpečnostní nástroje.

„Ještě nikdy jsme neviděli vývojáře malwaru, kteří takto interagují se šifrováním prohlížeče,“ řekl o Reductoru Kurt Baumgartner, pracující v Kaspersky jako odborník pro globální výzkum a analýzu. Podle něj se jedná o elegantní způsob, díky kterému se malwaru podařilo dlouho fungovat bez povšimnutí.

Naštěstí se alespoň prozatím zdá, že Reductor byl využíván na cílené špionážní operace. Pokud by se však jeho komponenty dostaly do jiných malwarových „balíčků“, mohl by představovat nebezpečí pro širokou veřejnost.

Diskuze (8) Další článek: Vyzkoušeli jsme nejmenší telefon na světě. Vyrábí jej česká firma!

Témata článku: Instagram, Hacking, Malware, Kaspersky Lab, Šifrování, Odposlech, Viry, Škodlivá aplikace, Provoz, Kaspersky, Aplikace, Exchange Server, Google Chrome, TLS, Transport Layer Security, Turla, Mozilla Firefox


Určitě si přečtěte

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme třináct tipů a triků, o kterých možná (ne)víte

Karel Kilián | 30

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

** Je to velké jako Raspberry Pi ** Ale je to až o několik řádů rychlejší ** Dorazil nám exotický Google Coral s akcelerátorem Edge TPU

Jakub Čížek | 18

Windows 10 po čtyřech letech: Jsou populární, ale stále je to šílený kočkopes

Windows 10 po čtyřech letech: Jsou populární, ale stále je to šílený kočkopes

** Windows 10 tu jsou už čtyři roky, první verze dorazila 29. 7. 2015 ** Desítky měly nahradit neúspěšnou řadu Windows 8.x ** I po letech však systém budí emoce a zůstává kočkopsem

Jakub Čížek | 111

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

** Odborníci přišli na to, jak obejít limit bezkontaktních plateb ** Stačí zařízení, ovlivňující komunikaci mezi kartou a terminálem ** Stahují se nad bezkontaktními platbami mračna?

Karel Kilián | 79

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

** Představte si biblickou potopu ** Nejprve zaniknou Děčín a Břeclav, pak i Brno a Praha ** Hlavním městem se stane Jihlava a zbytky Čechů přežijí na Kvildě

Jakub Čížek | 91



Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF