Milano, 4 ottobre 2019 - I ricercatori di Kaspersky hanno scoperto nuovi malware che compromettono l'interazione delle vittime con le pagine web HTTPS tramite patch del generatore di numeri pseudo random utilizzata nel processo di creazione di comunicazioni crittografate tra l'utente e il sito Web. Oltre all'installazione di certificati digitali non autorizzati offre ai criminali la possibilità di spiare l'attività del browser degli utenti.
Nonostante la lettera "S" di HTTPS stia per "Sicuro" e indichi che le informazioni scambiate tra un browser e un sito web non sono accessibili a terzi, esistono molti modi con cui un gruppo di hacker di alto profilo può interferire in questo processo. Reductor è uno strumento sviluppato per questo tipo di intrusione ed è stato utilizzato per lo spionaggio informatico di enti diplomatici nei Paesi della CSI (Comunità degli Stati Indipendenti), principalmente con l’obiettivo di monitorare il traffico Internet dei propri dipendenti. Inoltre, i moduli trovati avevano funzioni RAT (Remote Administration Tool) e le capacità di questo malware sono quasi illimitate.
Per distribuire Reductor sono stati utilizzati due vettori di attacco principali, uno dei quali consiste nel dowload dei moduli tramite il malware COMPfun, precedentemente attribuito a Turla, l'autore di minaccia di lingua russa. L’altro vettore, invece, è risultato essere più complesso. L’attaccante, infatti, ha avuto l'opportunità di applicare in modo istantaneo una patch a un software “pulito” mentre veniva effettuato il download da siti web legittimi sui computer degli utenti. I software installer sono stati scaricati dai siti web warez che offrono il download gratuito di software pirata. Sebbene gli installer originali disponibili su quei siti web non fossero infetti, una volta scaricati sui PC delle vittime includevano malware. I ricercatori di Kaspersky hanno concluso che la sostituzione è avvenuta in modo istantaneo e che gli sviluppatori di Reductor hanno un certo controllo sul canale di rete del target.
Una volta individuato il percorso per raggiungere il dispositivo della vittima, Reductor manipola i certificati digitali installati, correggendo i generatori di numeri pseudo random dei browser utilizzati per crittografare il traffico proveniente dall'utente verso i siti web HTTPS. Per identificare le vittime, il cui traffico viene dirottato, i criminali aggiungono per ciascuna vittima identificatori unici basati su hardware e software e li contrassegnano con determinati numeri all’interno di un generatore di numeri non così casuale. Una volta che il browser sul dispositivo infetto installa una patch, all’insaputa della vittima, l'autore della minaccia riceve tutte le informazioni e le azioni eseguite con questo browser.
"Non abbiamo mai visto sviluppatori di malware interagire con l’encryption di un browser in questo modo prima d'ora" ha commentato Kurt Baumgartner, security researcher del Global Research and Analysis Team di Kaspersky. "È un modo elegante in un certo senso e ha permesso agli aggressori di passare inosservati per molto tempo. Il livello di sofisticazione del metodo di attacco suggerisce che i creatori del malware Reductor sono molto esperti, il che è abbastanza comune tra gli autori sostenuti da uno stato-nazione. Tuttavia, non siamo stati in grado di trovare indizi tecnici solidi che potessero collegare questo malware ad un threat actor noto. Esortiamo tutte le organizzazioni che si occupano di dati sensibili a rimanere vigili e ad effettuare controlli di sicurezza regolari e approfonditi".
I prodotti Kaspersky rilevano e bloccano con successo il malware Reductor.
Per evitare di essere colpiti da malware come Reductor, Kaspersky raccomanda di:
• Eseguire regolari controlli di sicurezza dell'infrastruttura IT di un'organizzazione
• Adottare soluzioni di sicurezza collaudate e dotate di protezione dalle minacce web, come Kaspersky Endpoint Security for Business, che siano in grado di identificare e bloccare le minacce che tentano di utilizzare canali crittografati per penetrare nel sistema in modo nascosto.
• Oltre ad adottare una protezione per gli endpoint è necessario implementare una soluzione di sicurezza di livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
• Fornire al team SOC l'accesso alla Threat Intelligence di ultima generazione, in modo che siano aggiornati su strumenti, tecniche e tattiche nuove ed emergenti utilizzate dagli attori delle minacce e dai criminali informatici.
• Implementare sessioni di formazione sulla sicurezza per i dipendenti in modo che siano consapevoli dei rischi associati ai software pirata e imparino a distinguerli.
Sono disponibili maggiori informazioni sul nuovo malware su Securelist.com.
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
.jpg)
