SIKKERHET

Ny skadevare dekrypterer HTTPS-kommunikasjon: Kalles «genial» av Kaspersky

https protected web page on black
https protected web page on black Foto: Colourbox/1687021
7. okt. 2019 - 09:06

Skadevare pleier som regel å tilhøre velkjente kategorier, men nå har det dukket opp en ny type skadevare som beskrives som både unik og ekstremt sofistikert. Det melder blant andre Forbes.

Det er sikkerhetsselskapet Kaspersky som oppdaget den nye skadevaren, som de har døpt Reductor. Programvare omtales i detalj på selskapets hjemmesider.

Dekrypterer HTTPS

Det spesielle med Reductor er at den angriper den krypterte HTTPS-protokollen. Forskerne sier den er i stand til å kapre brukeres interaksjon med HTTPS-webtrafikk, og på den måten spionere på all mulig nettleseraktivitet.

Skadevaren fungerer i korte trekk ved å manipulere digitale sertifikater og «patche» de vilkårlige nummergeneratorene som nettleseren bruker til å kryptere trafikken mellom brukeren og HTTPS-websider.

For å identifisere ofre som er kompromittert legger bakmennene til unike programvare- og maskinvarebaserte identifikatorer for hver enkelt, og markerer dem med numre i en ikke-vilkårlig nummergenerator, skriver Kaspersky. 

Tegning av en slange som biter seg selv i halen, som ligger rundt Turla-navnet.
Les også

Skadevare lager bakdør i Exchange. Kontrolleres via skjulte koder i epostvedlegg

Når nettleseren på den infiserte enheten er «patchet» vil hackerne kunne motta all informasjon og alle handlinger som utføres med den aktuelle nettleseren, og offeret vil ikke kunne merke at noe er galt.

– Genial

Kasperskys sikkerhetsforskere sier det dreier seg om svært sofistikert programvare er, og peker særlig på hvordan den unngår å røre selve trafikken.

– Løsningen som Reductors utviklere har funnet for å markere TLS-trafikk er den mest geniale delen. De rører ikke nettverkspakkene i det hele tatt. I stedet analyserte utviklerne Firefox- og Chrome-koden for å patche den korresponderende, vilkårlige nummergeneratorfunksjonen i minnet, skriver Kaspersky.

Reductor sprer seg ifølge sikkerhetsselskapet blant annet ved å infisere utbredt Windows-programvare som Internet Download Manager og WinRAR, og i noen tilfeller skal skadevaren også ha blitt spredt via et populært, men ikke navngitt, piratnettsted.

Skadevare
Les også

Kaspersky Labs: – Denne nye skadevaren er både kryptograver, bakdør og orm i samme pakke

Kaspersky mistenker at det er kyberspionasjegruppen Turla som står bak programvaren. Turla har tidligere vært ansvarlige for flere sofistikerte angrep, og i mai i år meldte digi.no at gruppen trolig stod bak en skadevare som laget bakdører i Microsoft Exchange.

Flere detaljer om Reductor finner du hos Kaspersky.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.