Hacker-e1571347700925.jpg

Hackers rastreiam Chrome e Firefox

Da Redação
17/10/2019
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Grupo russo Turla “espiona” tráfegos criptografados na web ao modificar os navegadores

Dois dos navegadores de internet mais utilizados no mundo, o Google Chrome e o Mozilla Firefox, têm sido alvo constante de hackers russos. Membros do grupo russo Turla, os cibercriminosos tentam rastrear tráfegos criptografados na web ao modificar o Chrome e o Firefox. Primeiro, eles infectam os sistemas com um trojan de acesso remoto (RAT) e usam isso para modificar os navegadores, começando com a instalação de seus próprios certificados.

Acredita-se que esses cavalos de Troia, como também são conhecidos os trojans, sejam baixados de sites legítimos e de distribuidores de software pirata. O curioso é que os sites, na verdade, nunca tiveram arquivos maliciosos para baixar em primeiro plano. Entretanto, quando o usuário inicia um download legítimo, os arquivos são modificados durante a transmissão à medida que a conexão estava sendo executada no HTTP, o que facilita ainda mais.

Pesquisadores de segurança deduzem que, para isso, os hackers devem ter comprometido um provedor de internet (ISP). Dado que as suspeitas recaem sobre o grupo apoiado pelo governo russo, eles dizem que não chega a ser um grande feito. Há inúmeros registros de que a Turla comprometeu vários ISPs no passado.

Uma vez infectado os navegadores, eles instalam seus próprios certificados digitais e, analisando o código de ambos, corrigem a função de geração de números pseudo-aleatórios na memória, adicionando identificadores únicos baseados em hardware e software o que permite que sigam os passos da vítima por toda a internet, conforme mostrado nos trechos de código abaixo.

O malware foi batizado de Reductor e acredita-se ser um sucessor do cavalo de Troia COMPfun, descoberto em 2014 pela Kaspersky. Os pesquisadores de segurança acham que o COMpfun original provavelmente é usado como um downloader em um dos esquemas de distribuição. Com base nessas semelhanças, acreditam de que o novo malware foi desenvolvido pelos autores do COMPfun.

O que torna esse ataque tão impressionante é a capacidade demonstrada pelos arquivos infectantes em tempo real, algo que coloca o trojan em um clube muito exclusivo. Por isso, o conselho dos especialistas é claro: pare de baixar arquivos por HTTP.

Esta não é a primeira vez que os navegadores Chrome e Firefox são direcionados para um único ataque. No ano passado, o malware Vega Stealer foi pego roubando senhas e dados de cartões de crédito e débito de usuários dos navegadores. Em outro incidente, os cibercriminosos usaram atualizações falsas dos navegadores Chrome e Firefox para infectar computadores de usuários do Windows, não suspeitos, com malware e roubar credenciais bancárias/cartões de pagamento.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest