Kaspersky-Forscher haben mit „Reductor“ eine neue Malware entdeckt, die in die Interaktion von Opfern mit HTTPS-Webseiten eingreift, indem sie den Pseudozufallszahlengenerator manipuliert, mit dem die verschlüsselte Kommunikation zwischen dem Nutzer und der Website hergestellt wird. Zusammen mit der Installation von falschen digitalen Zertifikaten können die Malware-Akteure so die Browseraktivität von Nutzern ausspionieren.

Zwar steht das „S“ in HTTPS für „Sicher“ und Informationen, die zwischen Browser und Webseite ausgetauscht werden, sollten nicht für Dritte zugänglich sein, jedoch können hochqualifizierte Hacker-Gruppen in diesen Prozess eingreifen. Die Malware Reductor wurde als Tool für eine derartige Cyberspionage auf diplomatische Organisationen der Gemeinschaft Unabhängiger Staaten (GUS) unter anderem zur Überwachung des Internetverkehrs der Mitarbeiter eingesetzt. Darüber hinaus verfügen die gefundenen Module über RAT-Funktionen (Remote Administration Tool) und die Fähigkeiten dieser Malware sind nahezu unbegrenzt.

Sobald Reductor auf dem Computer ist, manipuliert er die installierten digitalen Zertifikate und manipuliert damit die Pseudozufallszahlengeneratoren des Browsers, mit denen der Datenverkehr vom Nutzer zu den HTTPS-Webseiten hin verschlüsselt wird. Um die Opfer zu identifizieren, deren Datenverkehr überwacht wird, fügen die Cyberkriminellen eindeutige hard- und softwarebasierte Kennungen hinzu und markieren sie mit bestimmten Zahlen in einem nicht mehr zufälligen Zahlengenerator. Sobald der Browser auf dem infizierten Gerät manipuliert ist, erhält der Angreifer alle Informationen und Aktionen, die mit diesem Browser ausgeführt werden – ohne dass das Opfer etwas bemerkt