[NicolasCoolman]

Kaspersky révèle une méthode originale pour compromettre les communications web chiffrées. Le logiciel malveillant se présente comme un correctif des navigateurs Chrome et Firefox.
Lire la suite

[LeChe]

Hello

d'où l'intérêt parfois d'un VPN, non ?

[NicolasCoolman]

Même si les données sont cryptées dans le tunnel du VPN,Je ne pense pas qu'il puisse stopper ce genre de malware.
Selon Kaspersky : Le logiciel malveillant ajoute des certificats numériques de sa section de données à l'hôte cible et permet aux opérateurs d'ajouter des certificats supplémentaires à distance via un canal nommé.

[LeChe]

oui, c'est vrai, dans ces conditions le VPN n'est pas une parade

[F4U]

Hello

d'où l'intérêt parfois d'un VPN, non ?

Hi,

Rappel: Un VPN fonctionne sous forme de tunnel ou les informations sont cryptées à l'intérieur avec une clé de 256bits ou voire 2048bits.
Les données transmises sous cette forme véhicule également le ou les malware(s) s'i(ls) sont présent notamment celui du sujet en cours que l'on appelle Malware REDUCTOR.

Malware Reductor



Fonctionnement:

- Post-infection

Une fois qu'un système est infecté, Reductor surveille les communications Internet. Pour ce faire, il «corrige» les générateurs de nombres pseudo aléatoires d'un navigateur, utilisés pour chiffrer le trafic entre le navigateur d'un utilisateur et des sites Web via HTTPS. En d'autres termes, au lieu d'essayer de manipuler les paquets du réseau eux-mêmes, les adversaires ciblent les navigateurs Firefox et Chrome et leurs fonctions de génération de nombres pseudo aléatoires.

«Ils ne touchent pas du tout les paquets du réseau. à la place, les développeurs ont analysé le code source de Firefox et le code binaire de Chrome pour patcher les fonctions de génération de nombres pseudo aléatoires correspondantes dans la mémoire du processus », ont écrit les chercheurs.

La génération de nombres pseudo-aléatoires (PRNG) est utilisée tout au long de la cryptographie. Dans ce cas, il est utilisé lors de la création d'une connexion HTTPS sécurisée entre un client et un serveur ou un navigateur et un site Web. Une fois qu'un navigateur et un site Web ont négocié une négociation TLS, le PRNG crée un «secret pré-maître» aléatoire (ou un numéro) qui sera utilisé pour sécuriser la connexion. Le secret pré-maître doit être imprévisible pour que la connexion soit sécurisée.

- Rendre aléatoire prévisible

C’est là que Reductor intervient et peut rendre l’imprévisible prévisible.

«Les navigateurs utilisent PRNG pour générer la séquence« client aléatoire »pour le paquet réseau au tout début de la négociation TLS. Reductor ajoute à ce champ "client aléatoire" des identifiants uniques, matériels et logiciels, cryptés pour les victimes ", expliquent les chercheurs de Kaspersky.

Afin de patcher (ou de manipuler) les fonctions PRNG du système cible, les développeurs de logiciels malveillants ont utilisé un petit désassembleur de longueur d'instruction Intel intégré dans le cadre de la séquence d'attaque. Cela leur permet de placer un petit "identifiant de victime" dans les paquets TLS.

"Les opérateurs connaissent cette valeur pour chaque victime, car elle est construite à l'aide de leurs certificats numériques", ont déclaré les chercheurs de Kaspersky. Ensuite, "l'acteur de la menace reçoit toutes les informations et actions effectuées avec ce navigateur, tandis que la victime reste sceptique quant à tout ce qui est indésirable", a écrit Kaspersky.

Kurt Baumgartner, chercheur en sécurité chez Kaspersky, a déclaré: «L'identifiant unique ajouté par Reductor à la poignée de main de chaque session TLS pourrait aider à identifier l'origine de la session sur le réseau, tandis que l'ajout et la suppression de certificats racine peuvent aider à décrypter discrètement ces communications interceptées. En d'autres termes, le groupe s'intéresse beaucoup à l'accès furtif au contenu de communication crypté, aux informations d'authentification et plus généralement aux informations extrêmement sensibles », a-t-il déclaré.

«En plus de maintenir un accès persistant, cette variété de correctifs de fonctions de bibliothèque cryptographique et de marquage TLS, ainsi que d’accès et de modification de certification racine, indique une tentative potentielle de faciliter les attaques TLS MitM», ajoute la recherche.

Baumgartner a déclaré qu'il n'avait jamais vu des développeurs de logiciels malveillants interagir de cette manière avec le chiffrement de navigateur.

Le niveau de sophistication démontré par le créateur de Reductor, a-t-il dit, suggère une organisation hautement professionnelle, généralement associée à des acteurs étatiques. «Nous exhortons toutes les organisations traitant des données sensibles à rester vigilantes et à procéder à des contrôles de sécurité complets et réguliers», a déclaré Baumgartner.

Bref...le VPN n'éradique pas le malware Reductor dans cette condition

https://www.lebigdata.fr/kaspersky-malware-reductor

#

[LeChe]

Bref...le VPN n'éradique pas le malware Reductor dans cette condition

Hello

juste une remarque d'ordre terminologique:

je n'ai jamais pensé qu'un VPN éradiquait le malware, mais qu'il pourrait éventuellement empêcherl'intrusion du dit malware dans le tunnel, ce qui n'est pas pareil, mais la conclusion reste la même , à savoir que le VPN ne sert pas du tout de bouclier , ce que je pensais à tort