LEBIGDATA.FR I.A, Cloud & Cybersécurité
Kaspersky vient de découvrir un malware nommé Reductor. Ce logiciel malveillant se distingue par sa capacité à déchiffrer les données sécurisées via le protocole de chiffrement TLS sur le web…
C'est en avril 2019 que le malware Reductor a été repéré pour la première fois par Kaspersky. Selon le spécialiste de la cybersécurité, ce malware aurait été développé par le groupe de hackers russes Turla focalisé sur les opérations d'espionnage. Il serait connecté avec le Cheval de Troie » COMpFun « .
Là où ce malgiciel se distingue, c'est par sa capacité à manipuler les certificats TLS afin de décoder le trafic chiffré en TLS sans avoir besoin de l'intercepter. En plus des fonctions habituelles d'uploading, de téléchargement et d'exécution de fichier, Reductor est en mesure de manipuler les certificats numériques pour ensuite présenter des installateurs de malwares comme des logiciels légitimes.
Le malware se répand en infectant les logiciels populaires tels que WinRAR ou Internet Downloader Manager, ou via la capacité de COMpFun à télécharger des fichiers sur les hôtes déjà infectés. Cependant, plutôt que d'intercepter le trafic ou de dérober des clés, Reductor fonctionne en infectant directement le navigateur Chrome ou Firefox de sa victime.
Kaspersky surpris par l'ingéniosité du malware Reductor
Pour parvenir à cette prouesse, les développeurs ont analysé le code source de Firefox et le code binaire de Chrome afin de patcher les fonctions PRNG (pseudo random number generation) dans la mémoire du processus. De cette manière, les opérateurs du malware sont en mesure de savoir à l'avance comment le trafic sera chiffré lorsque la victime établira une connexion TLS et de marquer ce trafic pour un usage ultérieur.
Le malware sera donc en mesure de décoder le trafic et de voir les données transmises pour ensuite envoyer les informations dignes d'intérêt vers le serveur de commande. Les données étant décodées, les hackers peuvent opérer sans être détectés par les outils de sécurité ou les administrateurs.
Selon Kaspersky, aucun hacker n'a interagi avec le chiffrement des navigateurs web de cette façon jusqu'à présent. Il s'agit d'une idée particulièrement ingénieuse, qui a permis aux cybercriminels d'agir en toute discrétion pendant un certain temps.
Tout porte à croire que ces hackers sont de véritables professionnels, probablement soutenus par le gouvernement russe. Tant que cette méthode reste limitée à des opérations d'espionnage, le grand public et les entreprises n'ont pas à s'inquiéter. En revanche, si les composants sont repris par d'autres packages de malware, il faudra face à cette nouvelle menace qui planera sur le web dans sa globalité…
- Partager l'article :
est-ce que ça concerne TLS 1.3 ?