Une équipe de sécurité d'experts ont découvert une nouvelle génération de logiciels malveillants qui est créé par le groupe de piratage Turla et est appelé Reductor cheval de Troie. Selon les recherches disponibles, il est le successeur du malware COMpfun déjà publié initialement rapporté au sujet de retour dans 2014. Les campagnes actives qui le portent semblent être contre des cibles situées en Biélorussie et en Russie.
Reducteur est le plus récent cheval de Troie Malware dangereux par les pirates informatiques Turla
Le groupe de piratage Turla est un groupe expérimenté qui a mis au point une nouvelle menace dangereuse connue sous le nom Reductor cheval de Troie. Il est également distribué par une nouvelle technique toute.
Le module logiciel malveillant est censé passer par une nouvelle approche qui n'est pas l'homme-in-the-milieu classique attaque qui est typique de ces cas. Au lieu de cela le malware installe les certificats de sécurité dans les navigateurs Web permettant ainsi aux attaquants distants afin de pirater des sessions sécurisées et des informations privées. La méthode likey qui a été utilisée par les attaquants est la distribution de d'installation d'applications infectées par des logiciels malveillants des navigateurs web. Un endroit susceptible de les trouver est de les télécharger “warez” sites - sites ombragés que les applications pirates et les données actuelles qui sont généralement exploités par des pirates ou des arnaqueurs. Il y a deux scénarios probables dans ce cas:
- Copycat installateurs - Les pirates peuvent usurper l'identité des faisceaux de configuration légitimes des navigateurs les plus populaires - les plus populaires sont Mozilla Firefox et Google Chrome.
- Installateurs App modifiés & Versions personnalisées - Les pirates peuvent créer “mis à jour” ou “optimisé” versions des navigateurs Web communs et les présenter sur les faux sites. L'autre technique consiste à créer de faux nouveaux navigateurs qui sont des versions simplement rebaptisés des applications populaires qui comportent le code du virus.
A tout moment, les techniques de distribution peuvent passer à d'autres méthodes: l'utilisation des réseaux de partage de fichiers et l'inclusion de liens vers les pages de programmes malveillants via des messages électroniques et des profils de réseaux sociaux qui sont soit piraté ou faux.
Le cheval de Troie Reductor et ses capacités
Dès que le cheval de Troie Reductor est déployé sur un système donné son principal moteur sera démarré. Il se connecte à un serveur contrôlé hacker qui permet aux pirates de prendre le contrôle des hôtes, voler leurs dossiers et également installer d'autres menaces.
Ce qui est dangereux est le fait que le cheval de Troie sera en mesure de détourner tout le trafic sensible et sûr que les flux des utilisateurs vers des pages Internet et vice-versa. En exécutant le moteur concerné les criminels peuvent mener une série d'actions dangereuses. Les échantillons capturés ont été trouvés pour permettre la suite:
- hostinfo - Cette commande permet de récupérer le nom d'hôte de l'ordinateur
- getTimeout - Cela permet de récupérer la valeur de délai d'attente du Registre Windows
- domainlist - Ce transmettra le C actuellement utilisé&C domaine du serveur
- downfile - Cela va télécharger un fichier donné à partir de l'ordinateur infecté
- upfile - Cela va télécharger un fichier sur l'ordinateur contaminé
- Options - Permet aux pirates de modifier certaines valeurs dans le Registre Windows
- execfile - Cela exécutera un fichier donné sur l'hôte distant
- nop - Idle
- tuer - Cela effacera tous les fichiers et les données qui sont associées au cheval de Troie Reductor. Cela inclut les certificats numériques, fichiers, cookies, les valeurs du registre Windows et les modules connexes
- supprimer le fichier - Cela supprimera un fichier à un endroit donné
- certlist - Cela renouveler les certificats numériques des logiciels malveillants installés
En plus du principal moteur de Troie lui-même les pirates permettront probablement des modules communs, y compris le l'installation persistante un. Il éditera les options de configuration de démarrage permettant ainsi le principal moteur de démarrer dès que le système d'exploitation démarre. Dans de nombreux cas, cela désactive également l'accès aux options de démarrage de récupération. Le fait que les pirates ciblent le trafic sécurisé nous donne des raisons de croire que le groupe piratage tente probablement pirater les sessions bancaires en ligne. Cependant, d'autres scénarios sont également susceptibles d'être utilisés pour voler des données sensibles, et surveillance des cibles de grande envergure.