Reductor-Malware 06.10.2019, 11:39 Uhr

Eingriff in den sicheren HTTPS-Verkehr

Kaspersky-Forscher haben mit Reductor eine neue Malware entdeckt, die in die Interaktion von Opfern mit HTTPS-Webseiten eingreift.
Kaspersky: Reductor-Malware greift in den sicheren HTTPS-Verkehr ein.
(Quelle: www.kaspersky.de )
Zusammen mit der Installation von falschen digitalen Zertifikaten können die Malware-Akteure so die Browseraktivität von Nutzern ausspionieren.
Reductor besteht aus zwei Hauptangriffsvektoren, von denen einer Module über COMPfun-Malware herunterlädt, die zuvor dem russischsprachigen Bedrohungsakteur Turla zugeschrieben wurden. Über den zweiten Vektor haben die Angreifer die Möglichkeit, die Software direkt während des Herunterladens aus legitimen Quellen auf den Opfer-Computer mit schädlichen Inhalten zu versehen. Die Software-Installer werden von Warez-Websites heruntergeladen, die kostenlose Downloads von Raubkopien anbieten. Zwar sind diese Installationsprogramme ursprünglich nicht mit Malware kompromittiert, sie jedoch mit Schadcode versehen auf den Opfer-Computer gelangen. Kaspersky-Forschern kamen zu dem Schluss, dass die Manipulation während des Downloads erfolgt und Betreiber von Reductor eine gewisse Kontrolle über das Netzwerk des Ziels haben.
Sobald Reductor auf dem Computer ist, manipuliert er die installierten digitalen Zertifikate und manipuliert damit die Pseudozufallszahlengeneratoren des Browsers, mit denen der Datenverkehr vom Nutzer zu den HTTPS-Webseiten hin verschlüsselt wird. Um die Opfer zu identifizieren, deren Datenverkehr überwacht wird, fügen die Cyberkriminellen eindeutige hard- und softwarebasierte Kennungen hinzu und markieren sie mit bestimmten Zahlen in einem nicht mehr zufälligen Zahlengenerator. Sobald der Browser auf dem infizierten Gerät manipuliert ist, erhält der Angreifer alle Informationen und Aktionen, die mit diesem Browser ausgeführt werden – ohne dass das Opfer etwas bemerkt.



Das könnte Sie auch interessieren