Il malware Reductor scoperto dai ricercatori di Kaspersky permette ai cyber criminali di spiare l'attività online degli utenti. Era nato per lo spionaggio informatico, ora è un'arma potenzialmente letale.
Si chiama Redactor il nuovo malware scoperto dai ricercatori per la sicurezza di Kaspersky. Dirotta il traffico HTTPS manipolando i generatori di numeri “random” dei browser. In questo modo permette ai cyber criminali di installare certificati digitali non autorizzati e di spiare quello l’attività degli utenti online.
Per capire come agisce questa minaccia, bisogna ricordare che di recente, al classico “http” degli indirizzi web è stata aggiunta una “s”, che dovrebbe stare per “sicuro”, in quanto le informazioni scambiate tra un browser e un sito web non sono accessibili a terzi. Questo è vero fino a un certo punto, perché i cyber criminali dispongono di un numero crescente di trucchi per interferire in questo processo.
Uno di questi è Reductor, sviluppato e usato per lo spionaggio informatico. Il suo obiettivo principale era monitorare il traffico Internet dei dipendenti, mediante uno strumento di amministrazione remota. In mano agli hacker, questo conferisce al malware capacità pressoché illimitate.
Ci sono due strade per diffondere Reductor. Uno sfrutta un malware di matrice russa, il secondo è un vettore d’attacco più complesso, ma anche più efficace. Il criminale informatico modifica un software “pulito” durante il suo download da siti web legittimi. Una volta raggiunto il computer della vittima, il software inizia a scaricare gli strumenti di installazione da siti web pirata. Questi cosiddetti installer non sono in origine infetti, quindi superano le difese informatiche, ma una volta scaricati sui PC delle vittime sprigionano dei malware.
A questo punto Reductor è attivo. Manipola i certificati digitali installati (ogni software ne dispone), correggendo i generatori di numeri casuali dei browser utilizzati per crittografare il traffico proveniente dall’utente verso i siti web HTTPS. Gli hacker contrassegnano gli utenti con determinati numeri in modo da identificare le vittime, e iniziano a dirottarne il traffico, ricevendo così tutte le informazioni e le azioni eseguite con il browser infetto.
Kurt Baumgartner, security researcher del Global Research and Analysis Team di Kaspersky, spiega che da esperto di sicurezza non ha “mai visto sviluppatori di malware interagire con l’encryption di un browser in questo modo prima d’ora. È un modo elegante, in un certo senso, e ha permesso agli aggressori di passare inosservati per molto tempo. Il livello di sofisticazione del metodo di attacco suggerisce che i creatori del malware Reductor sono molto esperti, il che è abbastanza comune tra gli autori sostenuti da uno stato-nazione”.
L’ideatore resta sconosciuto, l’indicazione per tutte le organizzazioni che si occupano di dati sensibili è quella di effettuare controlli di sicurezza regolari e approfonditi. Gli esperti caldeggiano inoltre di adottare soluzioni di sicurezza collaudate e dotate di protezione dalle minacce web, in grado di identificare e bloccare le minacce che tentano di utilizzare canali crittografati per penetrare nel sistema in modo nascosto.
Sono consigliate inoltre l’adozione di soluzioni di sicurezza di livello aziendale che rilevino tempestivamente le minacce avanzate a livello di rete e corsi di formazione sulla sicurezza per i dipendenti, in modo che siano consapevoli dei rischi associati ai software pirata e imparino a distinguerli.