بدافزار Reductor مرورگرهای Chrome و Firefox را برای شناسایی ترافیک رمزگذاریشده رایانه قربانیان تغییر میدهد.
منبع : مرکز مدیریت راهبردی افتا
بدافزار Reductor مرورگرهای Chrome و Firefox را برای شناسایی ترافیک رمزگذاریشده رایانه قربانیان تغییر میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران بدافزار جدیدی را کشف کردهاند که میتواند مرورگرهای Chrome و Firefox را برای شناسایی ترافیک رمزگذاریشده رایانه قربانیان تغییر دهد. این تهدید، گواهیهای TLS قربانی را دستکاری و به انجام حملات مرد میانی (MitM) به ترافیک رمزگذاریشده کمک میکند.
این تهدید Reductor نامگذاری و در عملیاتی بین ماههای آوریل و آگوست مشاهده شدهاست. علاوهبر دستکاری ترافیک TLS ،Reductor دارای مجموعهای از توابع دسترسی از راه دور مانند بارگذاری، بارگیری و اجرای فایل نیز است.
عوامل این تهدید، کدهای مرورگرهای Chrome و Firefox را مطالعه کردهاند و توابع تولید عدد شبهتصادفی (PRNG) آن را دستکاری کردهاند. تابع PRNG برای تولید یک توالی تصادفی از اعداد در ابتدای یک بسته در handshake اولیه اتصال در مرورگرها استفاهمیشود. بدافزار Reductor کد PRNG مرورگر را تغییر میدهد تا شناسههای مبتنیبر نرمافزار و سختافزار را که مختص هر کاربر است به آن اضافه شوند. با این کار مهاجم میتواند ترافیک رمزگذاری شده قربانی را دنبال کند.
Reductor یک حمله MitM را به خودی خود اجرا نمیکند، اما گواهیهای نصبشده به انجام این نوع حمله کمک میکنند. پژوهشگران در حین تجزیهوتحلیل Reductor متوجه شدند که کد این بدافزار شباهتهای زیادی به COMPfun دارد. COMPfun یک تروجان مربوط به سال ۲۰۱۴ است که بهنظر میرسد با گروه Turla APT مرتبط است.
مهاجمان از دو سناریو برای توزیع Reductor استفادهمیکنند. در سناریوی اول از فایلهای نصبی برنامههایی مانند Internet Download Manager، Office Activator و غیره استفادهمیشود و بدافزار در آنها مخفی میشود. در سناریو دوم اهداف قبلا به تروجان COMpfun آلوده شدهاند و از سرور فرمان و کنترل آن Reductor منتقل میشود.