HTCinside


Hackers russos modificam Chrome e Firefox para rastrear o tráfego da Web TLS

O hacking está florescendo com o avanço das tecnologias. Na mesma linha, um grupo de hackers da Rússia foi encontrado invadindo os navegadores usados ​​localmente, Chrome e Firefox. O objetivo dos hackers é modificar a configuração HTTP dos 2 navegadores. Esse grupo de hackers pretende adicionar uma impressão digital para o tráfego da Web criptografado por TLS por vítima originada dos sistemas invadidos.

Turla é o nome desse grupo de hackers conhecido por trabalhar sob a proteção do governo russo. Esta semana, a Kaspersky publicou um relatório em que afirmava que as vítimas são infectadas por hackers através de um trojan que funciona remotamente. O nome deste Trojan é 'Redutor'. A mesma técnica que eles estão usando nesses dois navegadores.


Todo o processo contém duas etapas principais. Em primeiro lugar, os hackers precisam instalar seus próprios certificados digitais em cada sistema host infectado. Com isso, os hackers obtêm as informações de tráfego TLS do computador suspeito. Em segundo lugar, para modificar os navegadores Chrome e Firefox, os hackers usam funções de geração de números pseudo-aleatórios (PRNG). Se você não conhece o PRNG, ele é usado para gerar números aleatórios e configurar novos handshakes TLS para estabelecer conexões HTTPS.

No início de todas as conexões TLS, Turla – O grupo de hackers faz uso dessas funções PRNG para adicionar uma impressão digital. Os pesquisadores da Kaspersky explicaram em seu relatório divulgado hoje, a seguinte estrutura –

  • O primeiro hash de quatro bytes (cert_hash) é construído usando todos os certificados digitais do redutor. Para cada um deles, o valor inicial do hash é o número da versão X509. Em seguida, eles são sequencialmente XORed com todos os valores de quatro bytes do número de série. Todos os hashes contados são submetidos a XOR entre si para construir o final. Os operadores conhecem esse valor para cada vítima porque é construído usando seus certificados digitais
  • O segundo hash de quatro bytes (hwid_hash) é baseado nas propriedades de hardware do destino: data e versão do SMBIOS, data e versão do BIOS de vídeo e ID do volume do disco rígido. Os operadores conhecem esse valor para cada vítima porque é usado para o protocolo de comunicação C2.
  • Os três últimos campos são criptografados usando os primeiros quatro bytes – chave PRN XOR inicial. A cada rodada, a tecla XOR muda com o algoritmo MUL 0x48C27395 MOD 0x7FFFFFFFF. Como resultado, os bytes permanecem pseudo-aleatórios, mas com o host exclusivo, ID criptografado dentro.

A Kaspersky não explicou o motivo por trás da invasão de navegadores da Web pelo Turla. No entanto, garante uma coisa que tudo isso não fez para ajustar o tráfego criptografado do usuário. O 'Redutor' fornece informações completas sobre o sistema visado para hackers. Na verdade, o RAT (Reductor) também permite que os hackers conheçam o tráfego de rede em tempo real. Sem qualquer veredicto seguro, pode-se supor que a impressão digital TLS pode ser usada como vigilância alternativa pelos hackers.


Ler -Melhores aplicativos de hackers para telefones Android

Com a ajuda da impressão digital TLS, os hackers do grupo Turla podem conhecer com sucesso o tráfego criptografado de sites enquanto se conectam a eles em tempo real.

Ao todo, o Turla é considerado o grupo de hackers mais proeminente atualmente em todo o mundo. A maneira como eles trabalham e as técnicas usadas por eles são muito melhores do que outras que fazem o mesmo trabalho. Para sua informação, o Turla é conhecido por seqüestrar e utilizar satélites de telecomunicações para emitir malware em todo o mundo. Além disso, esta não é a primeira instância do grupo Turla atacando navegadores da Web e invadindo malware nos sistemas do host.

Esse grupo também instalou o complemento do Firefox com backdoor nos navegadores das vítimas em 2015 para assistir às atividades, incluindo resultados de tráfego de sites em tempo real.

Desta vez, eles estão corrigindo os dois navegadores amplamente usados, Chrome e Firefox, para rastrear o tráfego HTTP no endereço da vítima. seus truques e técnicas inteligentes do passado. estão ajudando-os a fazê-lo.


Some posts may contain affiliate links. Outdoorfitnessandfun.com is a participant in the Amazon Services LLC Associates Program, an affiliate advertising program designed to provide a means for sites to earn advertising fees by advertising and linking to Amazon(.com, .co.uk, .ca etc).

© 2025 htcinside.de . All rights reserved.