Investigadores de Kaspersky descubrieron el malware Reductor. Una variedad de malware que secuestra el tráfico HTTPS mediante la manipulación de navegadores. Funciona mediante la manipulación de generadores de números «aleatorios» de los navegadores para llevar a cabo ataques man-in-the-middle (MitM). La técnica socava el proceso de establecer comunicación encriptada entre el usuario y el sitio web.

Kaspersky atribuye la autoría de esta técnica a Turla, un conocido grupo de hackers que se cree que opera bajo la protección del gobierno ruso. La compañía de seguridad informática asegura que los hackers están infectando a las víctimas con un troyano de acceso remoto llamado ‘Reductor’. En un primer paso, los hackers consiguen instalar sus propios certificados digitales en cada host infectado. Gracias a ello consiguen interceptar cualquier tráfico TLS procedente del host. En un segundo paso modifican la instalación de Chrome y Firefox para parchear sus funciones de generación de números pseudo-aleatorios (PRNG).
Parece que este método no nació para romper el cifrado de las páginas web, sino para actuar como una herramienta de vigilancia secundaria. Aunque el usuario descubra el troyano y lo elimine de su equipo, los hackers continuarán espiando sus actividades. Kaspersky advierte que si queremos eliminarlo por completo tendríamos que hacer una instalación nueva del navegador.
Para identificar víctimas
Los atacantes agregan identificadores únicos basados en hardware y software para cada víctima y los marcan con ciertos números en un generador de números no tan aleatorio. Una vez que el navegador en el dispositivo infectado se ve comprometido, los atacantes reciben informes de actividad del navegador mientras dejan a las víctimas felizmente inconscientes de cualquier cosa que esté mal.
«No hemos visto desarrolladores de malware que interactúen con el cifrado del navegador de esta manera antes», comenta Kurt Baumgartner, investigador de seguridad del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky.
Origen: Reductor malware bundles tricks to compromise TLS traffic | The Daily Swig