It is currently 23-10-2017 01:36

Обнаружен троян, способный менять настройки прокси и перехватывать HTTPS-трафик

Обнаружен троян, способный менять настройки прокси и перехватывать HTTPS-трафик

by sigismund » 2016-08-30 18:24:28


Вреднос модифицирует настройки прокси в реестре Windows и устанавливает сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик.


Эксперты компании Microsoft предупредили о появлении нового трояна, способного модифицировать настройки прокси-сервера, «прослушивать» зашифрованный трафик, похищать учетные данные, а также другую важную информацию.

Для распространения вредоноса, получившего название Trojan:JS/Certor.A., злоумышленники используют традиционные методы, в частности, спам-рассылку. Электронные письма включают вложение в виде документа Microsoft Word, содержащее встроенный объект OLE, при открытии которого запускается скрипт Jscript. Данный скрипт замаскирован под безобидный файл, не вызывающий подозрений у пользователя. На самом деле код содержит несколько скриптов PowerShell и собственный сертификат, который далее используется для отслеживания и перехвата HTTPS-трафика.

Оказавшись на системе, вреднос модифицирует настройки прокси Internet Explorer в реестре Windows и устанавливает клиент Tor, планировщик задач, утилиту для туннелирования через прокси, а также сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик. Кроме того, троян устанавливает еще один сертификат для браузера Mozilla Firefox, поскольку данный интернет-обозреватель использует собственные настройки прокси.
Далее весь трафик перенаправляется на подконтрольный атакующим прокси-сервер. В результате они могут удаленно отслеживать, перенаправлять, модифицировать трафик и похищать важные данные жертвы.
sigismund
moderators
Сообщений: 788
Депозит: 0 BTC

Rating: 5