„Reductor“-Malware greift in den sicheren HTTPS-Verkehr ein

Kaspersky-Forscher haben mit „Reductor“ eine neue Malware entdeckt, die in die Interaktion von Opfern mit HTTPS-Webseiten eingreift, indem sie den Pseudozufallszahlengenerator manipuliert, mit dem die verschlüsselte Kommunikation zwischen dem Nutzer und der Website hergestellt wird. Zusammen mit der Installation von falschen digitalen Zertifikaten können die Malware-Akteure so die Browseraktivität von Nutzern ausspionieren.

Zwar steht das „S“ in HTTPS für „Sicher“ und Informationen, die zwischen Browser und Webseite ausgetauscht werden, sollten nicht für Dritte zugänglich sein, jedoch können hochqualifizierte Hacker-Gruppen in diesen Prozess eingreifen. Die Malware Reductor wurde als Tool für eine derartige Cyberspionage auf diplomatische Organisationen der Gemeinschaft Unabhängiger Staaten (GUS) unter anderem zur Überwachung des Internetverkehrs der Mitarbeiter eingesetzt. Darüber hinaus verfügen die gefundenen Module über RAT-Funktionen (Remote Administration Tool) und die Fähigkeiten dieser Malware sind nahezu unbegrenzt.

Reductor besteht aus zwei Hauptangriffsvektoren, von denen einer Module über COMPfun-Malware herunterlädt. Über den zweiten Vektor haben die Angreifer die Möglichkeit, die Software direkt während des Herunterladens aus legitimen Quellen auf den Opfer-Computer mit schädlichen Inhalten zu versehen. Die Software-Installer werden von Warez-Websites heruntergeladen, die kostenlose Downloads von Raubkopien anbieten. Zwar sind diese Installationsprogramme ursprünglich nicht mit Malware kompromittiert, sie jedoch mit Schadcode versehen auf den Opfer-Computer gelangen. Kaspersky-Forschern kamen zu dem Schluss, dass die Manipulation während des Downloads erfolgt und Betreiber von Reductor eine gewisse Kontrolle über das Netzwerk des Ziels haben.

Sobald Reductor auf dem Computer ist, manipuliert er die installierten digitalen Zertifikate und manipuliert damit die Pseudozufallszahlengeneratoren des Browsers, mit denen der Datenverkehr vom Nutzer zu den HTTPS-Webseiten hin verschlüsselt wird. Um die Opfer zu identifizieren, deren Datenverkehr überwacht wird, fügen die Cyberkriminellen eindeutige hard- und softwarebasierte Kennungen hinzu und markieren sie mit bestimmten Zahlen in einem nicht mehr zufälligen Zahlengenerator. Sobald der Browser auf dem infizierten Gerät manipuliert ist, erhält der Angreifer alle Informationen und Aktionen, die mit diesem Browser ausgeführt werden – ohne dass das Opfer etwas bemerkt.

„Wir haben noch nie gesehen, dass Malware-Entwickler auf diese Weise mit der Browserverschlüsselung interagieren“, zeigt sich Kurt Baumgartner, Sicherheitsforscher im Global Research and Analysis Team von Kaspersky, verblüfft. „Es ist in gewisser Weise elegant und ermöglichte es den Angreifern, lange unentdeckt zu bleiben. Die Komplexität der Angriffsmethode legt nahe, dass die Entwickler von Reductor-Malware hochprofessionell sind – was unter staatlich unterstützten Akteuren durchaus üblich ist. Wir konnten jedoch keine soliden technischen Hinweise finden, um die Malware einem bekannten Bedrohungsakteur zuordnen zu können. Wir fordern alle Organisationen, die mit sensiblen Daten zu tun haben, dringend dazu auf, wachsam zu bleiben und regelmäßig gründliche Sicherheitskontrollen durchzuführen.“ Produkte von Kaspersky erkennen und blockieren Reductor-Malware. Weitere Informationen zur Reductor-Malware sind hier verfügbar.

Kaspersky-Schutzempfehlungen

  • Regelmäßig Sicherheitsüberprüfung der IT-Infrastruktur des Unternehmens durchführen.
  • Bewährte Sicherheitslösungen mit Web-Threat-Protection-Technologien einsetzen, welche die Bedrohungen identifizieren und blockieren, die versuchen, über verschlüsselte Kanäle unentdeckt in das System einzudringen.
  • Neben dem Einsatz von Endpoint-Lösungen sollten außerdem erweiterte Sicherheitslösungen für Unternehmen verwendet werden, die Bedrohungen auf Netzwerkebene frühzeitig identifizieren.
  • Das SOC-Team sollte Zugriff auf die neuesten Bedrohungsinformationen haben, um über neue und aufkommende Tools, Techniken und Taktiken, die von Bedrohungsakteuren und Cyberkriminellen verwendet werden, auf dem Laufenden zu bleiben.
  • Regelmäßig Schulungen zum Thema Sicherheitsbewusstsein für Mitarbeiter anbieten, um das mit Raubkopien verbundene Risiko und dessen Unterscheidung zu erkennen.

Teaserbild: Pixabay