Reductor: malware, ki dešifrira promet Chroma in Firefoxa

Dare Hriberšek

10. okt 2019 ob 20:47:39

Nova zvrst malwara je v zadnjem času prizadela brskalnika Chrome in Firefox. Zlobna koda, poimenovana Reductor, je sposobna prestrezati šifriran promet, prvi so jo že aprila letos odkrili pri Kaspersky Labs, kjer so o njej pripravili tudi poročilo. Reductor sam po sebi ne poskuša dešifrirati samih omrežnih paketkov, namesto tega v brskalniku prilagodi notranji generator psevdonaključnih števil (PRNG), ki omogoča zasebnost povezave med strežnikom in odjemalcem. Ko je enkrat nameščen, spremlja spletni promet okužene naprave, obenem pa omogoča tudi oddaljeni dostop do naprave; napadalci lahko prek njega prenašajo, nalagajo in zaganjajo poljubne datoteke. Reductor je tako redek primer zlobne kode, ki omogoča vse našteto.

Kot se je pokazalo, so okužbe sistema večinoma potekale prek prenosov programov iz spletnih strani z "warez" programsko opremo, ki pa sama po sebi ni bila okužena. Napadalci so namestitveno datoteko namreč med prenašanjem prestregli in jo "on the fly" opremili z zlobno kodo. Raziskovalci glede na raven domiselnosti delovanja Reductorja sklepajo, da za njim stoji kaka visoko profesionalna organizacija, najverjetneje povezana z vlado kake države, njegov namen pa naj bi bilo prisluškovanje diplomatskim predstavništvom v državah na ozemlju nekdanje Sovjetske zveze.

Za zdaj so napade registrirali samo na območju Rusije in Belorusije, kot preventiva pa pomaga že standardni pregled s protivirusnim programom kakega znanega proizvajalca.