Los investigadores han encontrado una nueva pieza de malware, probablemente de un grupo de amenazas avanzado, que puede parchear los navegadores Chrome y Firefox para identificar el tráfico encriptado de la computadora de la víctima.
La amenaza se agrega a los certificados de Seguridad de la capa de transporte (TLS) del host de la víctima, que ayudan a llevar a cabo ataques de hombre en el medio (MitM) en el tráfico encriptado.
Modificación de las funciones PRNG de los navegadores
Nombrado Reductor, la amenaza se vio en una campaña a finales de abril que continuó al menos hasta agosto. Además de la manipulación del tráfico TLS, viene con la variedad típica de funciones de acceso remoto: cargar, descargar y ejecutar archivos.
La parte interesante es la solución del actor para marcar el tráfico cifrado de interés. Estudiaron el código en Mozilla Firefox y Google Chrome y parchearon sus funciones de generador de números pseudoaleatorios (PRNG).
La función PRNG se usa en los navegadores para generar una secuencia aleatoria de números al comienzo de un paquete para el protocolo de enlace inicial, cuando la conexión cifrada se negocia con el servidor.
Reductor modifica el código PRNG de los navegadores para agregar identificadores basados en hardware y software que son únicos para cada víctima. De esta manera, pueden seguir el tráfico encriptado de un host comprometido en toda la web.
"Eso coloca al actor en un club muy exclusivo, con capacidades que pocos otros actores en el mundo tienen", dicen los investigadores de seguridad de Kaspersky.
Para mantener el aspecto pseudoaleatorio del PRNG, Reductor utiliza los certificados (cert_hash) que deposita en la computadora de la víctima que son XORed repetidamente para el primer hash de cuatro bytes. El segundo hash de cuatro bytes se crea utilizando las propiedades de hardware (hwid_hash) del sistema: fecha y versión de SMBIOS, fecha y versión de BIOS de video e ID de volumen del disco duro.
"Los últimos tres campos se cifran utilizando los primeros cuatro bytes: la clave PRN XOR inicial. En cada ronda, la clave XOR cambia con el algoritmo MUL 0x48C27395 MOD 0x7FFFFFFF. Como resultado, los bytes permanecen pseudoaleatorios, pero con la ID de host única. encriptado en el interior ".
Reductor no ejecuta un ataque MitM, pero los certificados instalados ayudan con este objetivo y reemplazan el instalador legítimo con una variante maliciosa "sobre la marcha".
El análisis se basa en el comportamiento del cliente, los investigadores no tenían visibilidad de lo que sucedió en el lado del servidor.
En su investigación, los analistas de Kaspersky descubrieron que Reductor tiene "fuertes similitudes de código" con COMPfun, un troyano de 2014 que creen que está vinculado al grupo Turla APT. Sin embargo, esta conexión se basa solo en la victimología.
Fecha actualización el 2021-10-08. Fecha publicación el 2019-10-08. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: btcmanager Version movil