A la Une Actualités Sécurité

Kaspersky découvre un malware capable de déchiffrer les données

Kaspersky vient de découvrir un malware nommé Reductor. Ce logiciel malveillant se distingue par sa capacité à déchiffrer les données sécurisées via le protocole de chiffrement TLS (Transport Layer Security) sur le web.

C’est en avril 2019 que le malware Reductor a été repéré pour la première fois par Kaspersky. Selon le spécialiste de la cybersécurité, ce malware aurait été développé par le groupe de hackers russes Turla focalisé sur les opérations d’espionnage. Il serait connecté avec le Cheval de Troie  » COMpFun « .

Là où ce malgiciel se distingue, c’est par sa capacité à manipuler les certificats TLS afin de décoder le trafic chiffré en TLS sans avoir besoin de l’intercepter. En plus des fonctions habituelles d’uploading, de téléchargement et d’exécution de fichier, Reductor est en mesure de manipuler les certificats numériques pour ensuite présenter des installateurs de malwares comme des logiciels légitimes.

Le malware se répand en infectant les logiciels populaires tels que WinRAR ou Internet Downloader Manager, ou via la capacité de COMpFun à télécharger des fichiers sur les hôtes déjà infectés. Cependant, plutôt que d’intercepter le trafic ou de dérober des clés, Reductor fonctionne en infectant directement le navigateur Chrome ou Firefox de sa victime.

Kaspersky surpris par l’ingéniosité du malware Reductor

Pour parvenir à cette prouesse, les développeurs ont analysé le code source de Firefox et le code binaire de Chrome afin de patcher les fonctions PRNG (pseudo random number generation) dans la mémoire du processus. De cette manière, les opérateurs du malware sont en mesure de savoir à l’avance comment le trafic sera chiffré lorsque la victime établira une connexion TLS et de marquer ce trafic pour un usage ultérieur.

Le malware sera donc en mesure de décoder le trafic et de voir les données transmises pour ensuite envoyer les informations dignes d’intérêt vers le serveur de commande. Les données étant décodées, les hackers peuvent opérer sans être détectés par les outils de sécurité ou les administrateurs.

Selon Kaspersky, aucun hacker n’a interagi avec le chiffrement des navigateurs web de cette façon jusqu’à présent. Il s’agit d’une idée particulièrement ingénieuse, qui a permis aux cybercriminels d’agir en toute discrétion pendant un certain temps.

Tout porte à croire que ces hackers sont de véritables professionnels, probablement soutenus par le gouvernement russe. Tant que cette méthode reste limitée à des opérations d’espionnage, le grand public et les entreprises n’ont pas à s’inquiéter. En revanche, si les composants sont repris par d’autres packages de malware, il faudra face à cette nouvelle menace qui planera sur le web dans sa globalité…

Source

ARTICLES SIMILAIRES

Laisser un Commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient. Accepter En savoir plus

NEWSLETTER

Inscrivez-vous et recevez régulièrement des arletes par mail

Vos informations ne seront pas partagées