Многие злоумышленники для взлома просто используют уязвимости в браузерах, но одна группа пошла дальше. Об этом рассказали специалисты «Лаборатории Касперского».
В компании обнаружили, что хакеры из российской группы Turla научилась модифицировать браузеры Chrome и Firefox, чтобы добраться до зашифрованного TLS трафика.
Сначала злоумышленники заражают систему трояном Reductor для удалённого доступа и используют его, чтобы модицифировать браузеры. В том числе они устанавливают собственные сертификаты безопасности, чтобы перехватить трафик TLS от хоста и затем вставляют генерацию псевдослучайных чисел, которая используется для согласования соединения TLS.
Это позволяет вставлять цифровой отпечаток браузера к каждому действию TLS и пассивно отслеживать зашифрованный трафик. До конца неизвестно, зачем злоумышленникам изменять что-то в браузере, если они уже установили троян удалённого доступа. По одному из предположений, это делается на случай, если пользователь обнаружит свою оплошность и удалит троян, но не озаботится повторной установкой браузера.
Троян распространяется в замаскированном виде под Internet Download Manager, WinRAR и другие популярные приложения.