MADRID, 7 (Portaltic/EP)
Un nuevo 'malware' permite parchear los navegadores Chrome y Firefox para espiar las comunicaciones web privadas entre usuarios sin tocar los paquetes de red, que la compañía de ciberseguridad Kaspersky vincula al grupo de 'hackers' rusos Turla, supuestos autores del ataque COMfun Trojan, producido en 2014.
Kaspersky ha desvelado a través de un estudio que este nuevo 'malware' fue descubierto en abril de este año y que compromete las comunicaciones web encriptadas a través del parcheado de Chrome y Firefox. Los 'hackers' utilizan un nuevo sistema con el que toman el control del canal de la red y reemplazan los instaladores originales por otros infectados sobre la marcha. A estos nuevos módulos los han denominado 'Reductor'.
Aseguran que, además de cargar, descargar y ejecutar archivos, los autores de 'Reductor' intentan manipular certificados digitales y "marcar el tráfico TLS (seguridad de la capa de transporte) de salida con identificadores únicos relacionados con el receptor". TLS es un protocolo de seguridad que utilizan las páginas web para proteger la privacidad e integridad de los datos en la comunicación entre varias aplicaciones.
Los instaladores infectados se descargaban de páginas web HTTPS ilegales, si bien los archivos procedían de descargas HTTP, como explican desde la compañía de ciberseguridad. Esto indica que la sustitución de archivos normales por maliciosos que puede puede producir durante el proceso de descarga. "El hecho de que los archivos originales de estas páginas no están infectados también refuerza la evidencia de la manipulación de tráfico subsequente", apuntan desde Kaspersky.
Así, han registrado dos procesos de infección por 'Reductor': mediante la infección de distribuidores de 'software' populares, como son Internet Downloader Manager o WinRAR, o mediante la capacidad de COMpfun para descargar archivos en dominios ya infectados.
Desde Kaspersky aseguran que este nuevo 'malware' presenta, de hecho, "fuertes similitudes de código" con el 'malware' COMPfun Trojan, y por ello deducen que podría haber sido desarrollado por los mismos autores. Este 'malware' fue documentado por primera vez en 2014 por G-DATA y Kaspersky lo relacionó con el grupo de 'hackers' rusos Turla, basándose en sus victimología.
Para marcar el TLS sin tocar el tráfico, el 'malware' añade certificados digitales desde su sección de datos al dominio marcado como objetivo y permite a los hackers añadir certificados adicionales de manera remota a través de un conducto nombrado. "No tocan los paquetes de red para nada; en lugar de ello, los desarrolladores analizaron el código fuente de Firefox y el código binario de Chrome para parchear las funciones de generación de números pseudoaleatorios (PRNG) en la memoria de procesamiento", explican.
Los navegadores utilizan PRNG para generar la secuencia de 'cliente aleatorio' para el paquete de red al principio del TLS. 'Reductor' añade 'hardware' único encriptado e identificadores de 'software' basados en las víctimas para su campo de 'cliente aleatorio'. Para parchear estas funciones de PRNG, utilizan un "desensamblador pequeño embebido en Intel de instrucción larga", aseguran.
Desde Kaspersky creen que el motivo de estos ataques es que los certificados "pueden facilitar ataques de intermediario (MitM) en el tráfico TLS". Estos MitM permiten leer, insertar y modificar mensajes entre dos usuarios sin que las víctimas sean conscientes de ello. Creen que la razón principal de los ataques se sostiene sobre la idea de los que los "operadores de campaña necesitan acceder al tráfico de los objetivos". A pesar de ello, afirman que "no observamos ninguna funcionalidad MitM en las muestras analizadas de 'malware'.