Malware | Šifrování | Kaspersky Lab

Kaspersky varuje před malwarem Reductor – umí dekódovat provoz šifrovaný přes TLS

Kaspersky varuje před malwarem Reductor – umí dekódovat provoz šifrovaný přes TLS

Odborníci z antivirové společnosti Kaspersky oznámili odhalení nové škodlivé aplikace. Malware pojmenovali jako Reductor a jeho největší nebezpečí spatřují v tom, že dokáže dekódovat provoz šifrovaný přes kryptografický protokol TLS (Transport Layer Security).

Reductor je, s ohledem na profesionální provedení, považován za dílo hackerské skupiny Turla. Ta je známa vývojem různých aplikací, jejichž cílem je špionáž a získávání citlivých informací. V minulosti se proslavila například distribucí malwaru prostřednictvím komentáře na Instagramu či backdoorem LightNeuron, přes který útočníci získávali plný přístup k Exchange Serverům.

Záludný Reductor

Nové škodlivé aplikace vznikají prakticky nepřetržitě, takže je na místě otázka: proč se bezpečnostní experti rozhodli upozornit právě na tuto? Odpověď je poměrně prostá: unikátnost Reductoru spočívá v jeho schopnosti manipulovat s TLS certifikáty.

Nebezpečnost spočívá především v možnosti infikovat cíl dalšími instalátory škodlivých aplikací, které budou z pohledu operačního systému považovány za legitimní software. Malware zpravidla pochází z warezových serverů, kde byl součástí balíčků populárních programů, jako je například WinRAR.

„Kromě typických funkcí, jako je nahrávání, stahování a spouštění souborů, věnují autoři Reductoru velké úsilí manipulaci s digitálními certifikáty a ovlivňování odchozího TLS provozu pomocí jedinečných identifikátorů souvisejících s hostitelem,“ vysvětluje Kaspersky v tiskové zprávě.

Dlouho nepovšimnutá hrozba

Malware se nesnaží zasahovat do síťového provozu prostřednictvím útoku „man-in-the middle“. Reductor infikuje přímo webový prohlížeč, přičemž podporuje Mozillu Firefox a Google Chrome. V něm kompromituje generátor náhodných čísel, díky čemuž může zjišťovat, jak bude šifrován provoz, když oběť naváže připojení přes TLS,

Tímto způsobem dokáže malware snadno dekódovat veškerý provoz a zjistit obsah přenášených dat. Následně ho může odeslat zpět na řídící server. Protože útočník nemusí během přenosu manipulovat se síťovými pakety, je škodlivý program schopen fungovat bez toho, aby na něj upozornily bezpečnostní nástroje.

„Ještě nikdy jsme neviděli vývojáře malwaru, kteří takto interagují se šifrováním prohlížeče,“ řekl o Reductoru Kurt Baumgartner, pracující v Kaspersky jako odborník pro globální výzkum a analýzu. Podle něj se jedná o elegantní způsob, díky kterému se malwaru podařilo dlouho fungovat bez povšimnutí.

Naštěstí se alespoň prozatím zdá, že Reductor byl využíván na cílené špionážní operace. Pokud by se však jeho komponenty dostaly do jiných malwarových „balíčků“, mohl by představovat nebezpečí pro širokou veřejnost.

Diskuze (8) Další článek: Vyzkoušeli jsme nejmenší telefon na světě. Vyrábí jej česká firma!

Témata článku: Instagram, Hacking, Malware, Viry, Šifrování, Odposlech, Kaspersky Lab, Turla, Transport Layer Security, Mozilla Firefox, Kaspersky, Aplikace, Exchange Server, Google Chrome, TLS, Škodlivá aplikace, Provoz


Určitě si přečtěte

Co je TikTok: Svérázná sociální síť chytla mladé uživatele, už jich má už 1,5 miliardy

Co je TikTok: Svérázná sociální síť chytla mladé uživatele, už jich má už 1,5 miliardy

** Sociální síť TikTok získala stamiliony uživatelů a stále roste ** Jaký obsah na ní najdete a co můžete v jejím rámci čekat? ** Je to zábava pro mladé, nebo platforma pro úchyláky?

Karel Kilián | 38

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 116

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

** Speedtest stále častěji měří jen rychlost na poslední míli ** Ta však ale neodpovídá reálnému surfování ** Jak se tedy pokusit změřit tu skutečnou?

Jakub Čížek | 85

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 42



Aktuální číslo časopisu Computer

Megatest 12 bezdrátových sluchátek

Vyplatí se Apple z bazaru?

Test batohů pro notebooky

Vybíráme nejlepší sportovní hodinky