DiarioTi.com - el diario del profesional TI

Miércoles 16 Oct 2019 | Año 19 | Edición 4946
Menu
letter


Nuevo malware secuestra tráfico HTTPS manipulando navegadores

Kaspersky ha descubierto una nueva infección de malware que intercepta la interacción de las víctimas con HTTPS permitiendo a los hackers instalar certificados digitales falsos y espiar la actividad de los navegadores de las víctimas.

Diario TI 07/10/19 4:27:19

Conocido como Reductor, el malware fue detectado por primera vez en abril de este año, y los expertos en ciberseguridad creen que un grupo conocido como Turla es el responsable del mismo. Kaspersky afirma que Turla es un grupo de habla rusa, y que Reductor está conectado a un troyano antiguo conocido con el nombre de COMpFun.

Lo que distingue a Reductor, según Kaspersky, es el hecho que puede interferir en el proceso de intercambio de información entre el navegador y un sitio web. Por lo general, esto se hace a través del protocolo HTTPS, y debería estar cifrado e inaccesible para terceros.

Aún así, un “grupo de hackers de alto perfil” puede conseguirlo, señala. “Reductor es una herramienta desarrollada para tal intrusión y se utilizó para el ciberespionaje de entidades diplomáticas en países de la Comunidad de Estados Independientes, principalmente mediante el control del tráfico de Internet de sus empleados”, añade la empresa de ciberseguridad.

“Además, los módulos descubiertos tenían funciones RAT (Remote Administration Tool) y las capacidades de este malware eran casi ilimitadas.”

Reductor se estaba propagando a través de COMpFun, o inyectando el programa malicioso en un instalador de software legítimo, que se encuentra en un sitio de warez (software clandestino).

“Aunque los instaladores originales disponibles en esos sitios web no estaban infectados, terminaban en los equipos de las víctimas portando malware”, explica Kaspersky.

Una vez que Reductor se instala, puede manipular los certificados digitales instalados, parchear el generador de números pseudo-aleatorios del navegador que se utiliza para encriptar el tráfico. Los hackers también podrían instalar un identificador basado tanto en hardware como en software, para poder identificar mejor a sus víctimas.

Ilustración (c) Mike vía Shutterstock

  • Seleccione su país -+

    Diario TI utiliza una plataforma GeoIP que automáticamente intenta detectar el país desde donde usted se conecta, para así presentarle contenidos regionales. Sin embargo, si la detección automática no es posible, usted puede seleccionar manualmente su país.