Skadevare pleier som regel å tilhøre velkjente kategorier, men nå har det dukket opp en ny type skadevare som beskrives som både unik og ekstremt sofistikert. Det melder blant andre Forbes.
Det er sikkerhetsselskapet Kaspersky som oppdaget den nye skadevaren, som de har døpt Reductor. Programvare omtales i detalj på selskapets hjemmesider.
Dekrypterer HTTPS
Det spesielle med Reductor er at den angriper den krypterte HTTPS-protokollen. Forskerne sier den er i stand til å kapre brukeres interaksjon med HTTPS-webtrafikk, og på den måten spionere på all mulig nettleseraktivitet.
Skadevaren fungerer i korte trekk ved å manipulere digitale sertifikater og «patche» de vilkårlige nummergeneratorene som nettleseren bruker til å kryptere trafikken mellom brukeren og HTTPS-websider.
For å identifisere ofre som er kompromittert legger bakmennene til unike programvare- og maskinvarebaserte identifikatorer for hver enkelt, og markerer dem med numre i en ikke-vilkårlig nummergenerator, skriver Kaspersky.
Skadevare lager bakdør i Exchange. Kontrolleres via skjulte koder i epostvedlegg
Når nettleseren på den infiserte enheten er «patchet» vil hackerne kunne motta all informasjon og alle handlinger som utføres med den aktuelle nettleseren, og offeret vil ikke kunne merke at noe er galt.
– Genial
Kasperskys sikkerhetsforskere sier det dreier seg om svært sofistikert programvare er, og peker særlig på hvordan den unngår å røre selve trafikken.
– Løsningen som Reductors utviklere har funnet for å markere TLS-trafikk er den mest geniale delen. De rører ikke nettverkspakkene i det hele tatt. I stedet analyserte utviklerne Firefox- og Chrome-koden for å patche den korresponderende, vilkårlige nummergeneratorfunksjonen i minnet, skriver Kaspersky.
Reductor sprer seg ifølge sikkerhetsselskapet blant annet ved å infisere utbredt Windows-programvare som Internet Download Manager og WinRAR, og i noen tilfeller skal skadevaren også ha blitt spredt via et populært, men ikke navngitt, piratnettsted.
Kaspersky Labs: – Denne nye skadevaren er både kryptograver, bakdør og orm i samme pakke
Kaspersky mistenker at det er kyberspionasjegruppen Turla som står bak programvaren. Turla har tidligere vært ansvarlige for flere sofistikerte angrep, og i mai i år meldte digi.no at gruppen trolig stod bak en skadevare som laget bakdører i Microsoft Exchange.
Flere detaljer om Reductor finner du hos Kaspersky.
