Kaspersky опубликовала отчет о попытках российской группы Turla отследить шифрованный сетевой трафик путем модификации Chrome и Firefox. Как правило, хакеры не вскрывают браузеры за пределами эксплуатации их уязвимостей.
Данный процесс требует заразить компьютер вирусом-трояном Reductor с удаленным доступом, схожим с COMPfun. Тот модифицирует браузеры для перехвата трафика от хоста, начиная с установки собственных сертификатов. Они патчат псевдо-случайный генератор чисел, используемый для безопасных подключений. Это позволяет злоумышленникам добавлять «отпечаток» к каждому TLS-действию и пассивно отслеживать шифрованный трафик.
Издание ZDNet предположило, что хакеры могли пойти на этот ход на случай обнаружения трояна, когда пользователи не переустанавливают зараженный браузер.
Данные попытки вскрыли еще в апреле 2019 года. Исследования лаборатории показали, что оригинальный Compfun Trojan, скорее всего, используется в качестве загрузчика в одной из схем распространения. Основываясь на этом, компания сделала вывод, что новое вредоносное ПО было разработано авторами COMPfun, которыми, по мнению экспертов Kaspersky, является Turla.
В компании пояснили, что существует два различных метода, используемых злоумышленниками для распространения трояна Reductor. В первом сценарии злоумышленники используют зараженные установщики программного обеспечения с 32 — и 64-разрядными версиями Reductor. Во втором сценарии целевые объекты уже заражены трояном COMpfun, который использует COM CLSID для сохранения. После попадания в адресное пространство браузера троян может получить команду на загрузку дополнительных модулей с C2.
Зараженные установщики были загружены через незашифрованный HTTP. Это позволяет технически заменить файлы на вредоносные в процессе загрузки. Интересно, что некоторые конфигурации содержали очень популярные легитимные веб-сайты.
В компании напомнили, что Turla в прошлом применяла другие инновационные способы достижения своих целей, такие как, например, использование захваченной спутниковой инфраструктуры.
