▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Malware Reductor, una tecnica sofisticata per spiare gli utenti

Kaspersky lancia l'allarme per i malware Reductor: riescono a dirottare il traffico web senza toccare i pacchetti di dati e a spiare l'attività online degli utenti.

Business Vulnerabilità
Gli esperti di Kaspersky hanno rilevato malware che intercettano il traffico web e modificano i certificati digitali da remoto, senza toccare i pacchetti di rete. È una minaccia preoccupante, che offre ai cyber criminali la possibilità di spiare l'attività online degli utenti. Gli strumenti per questo tipo di intrusione sono stati chiamati Reductor e furono scoperti ad aprile 2019.

Quello che preoccupa è l'ingegnosità con cui agiscono. I veicoli d'attacco sono due: uno è un semplice malware. L’altro prevede che il cybercriminale applichi in modo istantaneo una patch a un software “pulito” durante un download da siti legittimi sul Pc della vittima. Una volta presente nel sistema, il codice malevolo sostituisce i numeri pseudo casuali (PRNG) del browser con falsi, così da intercettare il traffico crittografato.

compfunL'intervento all'interno della memoria del processo di FirefoxDa quando è in uso l'HTTPS, le informazioni scambiate tra un browser e un sito web sono crittografate per non essere accessibili a terzi. I PRNG sono appunto la strategia di difesa. I Reductor sono la nuova arma per espugnarli. Reductor manipola i certificati digitali installati e corregge i generatori di numeri che i browser usano per crittografare il traffico utente verso i siti  HTTPS. I criminali informatici aggiungono per ciascuna vittima identificatori unici, e li contrassegnano con determinati numeri all’interno di un generatore di numeri. Il browser sul dispositivo infetto installa una patch all’insaputa della vittima, e l'autore della minaccia riceve le informazioni e le azioni eseguite con questo browser.

Kurt Baumgartner, security researcher del Global Research and Analysis Team di Kaspersky, ammette di non "avere mai visto sviluppatori di malware interagire con l’encryption di un browser in questo modo". Lo definisce un modo "elegante", che "ha permesso agli aggressori di passare inosservati per molto tempo. Il livello di sofisticazione del metodo di attacco suggerisce che i creatori del malware Reductor sono molto esperti".

compfun successor reductor 3Uno dei certificati decodificati all'interno del malware ReductorRisalendo alle origini, sembra che Reductor sia uno strumento sviluppato per lo spionaggio informatico. Gli esperti non sono riusciti a collegare il malware ad un threat actor noto. L'unica strategia possibile è la difesa.

Baumgartner esorta "tutte le organizzazioni che si occupano di dati sensibili a rimanere vigili e ad effettuare controlli di sicurezza regolari e approfonditi". Inoltre Kaspersky consiglia di adottare soluzioni di sicurezza collaudate e dotate di protezione dalle minacce web. Di implementare una soluzione di sicurezza di livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete. E' inoltre consigliato di programmare sessioni di formazione per i dipendenti, per renderli consapevoli dei rischi e imparino a distinguerli.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter