Reductor: nowy malware w cichy sposób przechwytuje ruch HTTPS. Łata w locie generator liczb pseudolosowych przeglądarek

Mowa o malware  wykrytym przez zespół Kaspersky – na celowniku znajdują się kraje Wspólnoty Niepodległych Państw. Sposoby infekcji są dwa. Pierwszy z nich wykorzystuje pobieranie modułów Reductora przez znane złośliwe oprogramowanie COMpfun. Drugi wektor ataku wykorzystuje warezy, czyli serwisy, z których za darmo można pobrać płatne programy (nie jest to oczywiście legalne). Instalatory zostały zainfekowane podczas pobierania:

This allowed us to confirm that Reductor’s operators have some control over the target’s network channel and could replace legitimate installers with infected ones on the fly.

Malware ten jest o tyle ciekawy, że potrafi w pamięci patchować mechanizmy generowania liczb pseudolosowych w Chrome i Firefoksie, znakując w ten sposób ruch ofiar:

They don’t touch the network packets at all; instead developers analyzed the Firefox source code and Chrome binary code to patch the corresponding pseudo random number generation functions in the process’s memory,

In order to patch (or manipulate) the targeted system’s PRNG functions, the malware developers used a small embedded Intel instruction-length disassembler as part of the attack sequence. This allows them to place a small ‘victim id’ inside TLS packets.

Po co aż tak zaawansowane działania? Zapewne w celu ukrycia faktu działania samego malware – użytkownik m.in. może łączyć się do serwisów protokołem HTTPS i nie podejrzewa że w tle dzieje się coś dziwnego – czyli ktoś go podsłuchuje:

The unique ID that Reductor adds to the handshake of each TLS session could help identify the origin of the session on the wire, while adding and removing root certificates can quietly help decrypt these intercepted communications. In other words, the group is highly interested in stealth access to encrypted communication content, authentication credentials, and more generally highly sensitive information,

— mg & ms