Un grupo hacker ruso se dedica a parchear el navegador que ya tienes instalado

Los ataques de los grupos de ciberdelincuentes no paran de actualizarse y de cambiar para adaptarse a los nuevos tiempos, además de evitar ser detectados por las principales soluciones de seguridad. En los últimos días hemos conocido la existencia de un virus sin archivo que es casi imposible de detectar por el antivirus. Hoy, vamos a conocer lo que hacen un grupo de hackers rusos con una innovadora técnica que pasa por parchear el navegador que ya tienes instalado para espiarte.

Los navegadores son la puerta de entrada de Internet en nuestros equipos, por lo que cualquier fallo en su seguridad puede ser fatal. Por esa razón, siempre os recomendamos aplicar todas las actualizaciones pese a que están parezcan menores a nivel de nuevas características. En el caso de Google Chrome o Mozilla Firefox, cada nueva versión viene con decenas de agujeros de seguridad cerrados.

Turla, el grupo de hackers ruso y el nuevo ataque contra tu navegador

El grupo de hackers ruso conocido como Turla y que actúa bajo la “protección” del gobierno de ese país, ha sido pillado realizando una técnica bastante novedosa. Esta técnica implica parchear el navegador instalado en el PC para modificar sus componentes internos. Por el momento, parece afectar a Chrome y Firefox, algo lógico ya que son los más utilizados del mercado.

Hasta ahora, se solía intentar colar malware de otra forma, pero esta es considerada como bastante “original”. El objetivo final de estas modificaciones del navegador instalado es alterar el funcionamiento de las conexiones HTTPS del navegador para introducir una herramienta capaz de controlar el tráfico TLS cifrado que se ha generado.

Según el informe publicado por la firma de seguridad Kaspersky Lab, los hackers están consiguiendo infectar los ordenadores de sus víctimas con un troyano de acceso remoto bautizado como Reductor. A través de este troyano son capaces de modificar los dos navegador que tienen instalados ya en el ordenador.

El proceso se realiza en dos pasos. El primero es instalar su propio certificado digital en cada una de las víctimas para interceptar el tráfico TLS. En segundo lugar, modifican la instalación de Chrome y Firefox parcheando las funciones de PRNG (pseudo-random number generation) necesarias para establecer conexiones HTTPS.

Por el momento, no se han desvelado las verdaderas intenciones de Turla, aunque es posible que estén preparándose para monitorizar pasivamente el tráfico HTTPS mundial. Es posible que para esparcir el troyano Reductor por Internet hayan comprometido la seguridad de algún operador, algo que ya intentaron en 2018 con éxito sobre cuatro compañías de telecomunicaciones.Escrito por Claudio Valero

Deja un comentario