Un grupo de piratas informáticos rusos especializados en ciberespionaje serían los responsables de un nuevo ataque que utiliza una nueva técnica para infectar los navegadores Chrome y Firefox de los ordenadores y recopilar gran cantidad de datos de los usuarios.
Este virus consigue espiar todo el tráfico HTTPS encriptado gracias a la técnica de caballo de troya conocida entre los expertos en ciberseguridad. Sin embargo, la técnica que usan lo piratas es tan discreta que puede seguir monitoreando la actividad del ordenador incluso después de haber eliminado el troyano.
En los ataques de este tipo, se utilizan otras técnicas que permiten espiar todo el tráfico que se realiza a través de estos navegadores, pero el grupo de piratas rusos han dado con la forma de seguir espiando el ordenador incluso cuando el antivirus detecta y elimina el malware. Aún así habría una forma de asegurarnos que hemos limpiado por completo el ordenador de este malware.
Según un informe de Kaspersky, el troyano usa el nombre de Reductor y sería obra del grupo Turla, un conocido equipo de hackers que, según sospechan las empresas de ciberseguridad, trabajan para el Gobierno ruso.
Primero instalan sus propios certificados digitales en cada host infectado, consiguiendo interceptar cualquier tráfico TLS que se origine en ese host. Después modifican la instalación de Chrome y Firefox para parchear sus funciones que generación de números pseudoaleatorios (PRNG). Estas funciones se utilizan para el establecimiento de nuevos protocolos de enlace TLS en conexiones HTTPS.
Las primeras víctimas de este tipo de ataque se están registrando en Rusia y Bielorrusia y aunque creamos que hemos eliminado el malware, las víctimas siguen siendo espiadas por lo que los expertos están recomendando reinstalar desde cero los navegadores de Chrome y Firefox en caso de que nuestro antivirus nos haya avisado que ha detectado un malware en ellos.
Fuente: computerhoy.com