Grupo russo Turla “espiona” tráfegos criptografados na web ao modificar os navegadores
Dois dos navegadores de internet mais utilizados no mundo, o Google Chrome e o Mozilla Firefox, têm sido alvo constante de hackers russos. Membros do grupo russo Turla, os cibercriminosos tentam rastrear tráfegos criptografados na web ao modificar o Chrome e o Firefox. Primeiro, eles infectam os sistemas com um trojan de acesso remoto (RAT) e usam isso para modificar os navegadores, começando com a instalação de seus próprios certificados.
Acredita-se que esses cavalos de Troia, como também são conhecidos os trojans, sejam baixados de sites legítimos e de distribuidores de software pirata. O curioso é que os sites, na verdade, nunca tiveram arquivos maliciosos para baixar em primeiro plano. Entretanto, quando o usuário inicia um download legítimo, os arquivos são modificados durante a transmissão à medida que a conexão estava sendo executada no HTTP, o que facilita ainda mais.
Pesquisadores de segurança deduzem que, para isso, os hackers devem ter comprometido um provedor de internet (ISP). Dado que as suspeitas recaem sobre o grupo apoiado pelo governo russo, eles dizem que não chega a ser um grande feito. Há inúmeros registros de que a Turla comprometeu vários ISPs no passado.
Uma vez infectado os navegadores, eles instalam seus próprios certificados digitais e, analisando o código de ambos, corrigem a função de geração de números pseudo-aleatórios na memória, adicionando identificadores únicos baseados em hardware e software o que permite que sigam os passos da vítima por toda a internet, conforme mostrado nos trechos de código abaixo.
O malware foi batizado de Reductor e acredita-se ser um sucessor do cavalo de Troia COMPfun, descoberto em 2014 pela Kaspersky. Os pesquisadores de segurança acham que o COMpfun original provavelmente é usado como um downloader em um dos esquemas de distribuição. Com base nessas semelhanças, acreditam de que o novo malware foi desenvolvido pelos autores do COMPfun.
O que torna esse ataque tão impressionante é a capacidade demonstrada pelos arquivos infectantes em tempo real, algo que coloca o trojan em um clube muito exclusivo. Por isso, o conselho dos especialistas é claro: pare de baixar arquivos por HTTP.
Esta não é a primeira vez que os navegadores Chrome e Firefox são direcionados para um único ataque. No ano passado, o malware Vega Stealer foi pego roubando senhas e dados de cartões de crédito e débito de usuários dos navegadores. Em outro incidente, os cibercriminosos usaram atualizações falsas dos navegadores Chrome e Firefox para infectar computadores de usuários do Windows, não suspeitos, com malware e roubar credenciais bancárias/cartões de pagamento.