Hakerzy wykorzystują fałszywe serwery proxy do przechwytywania ruchu HTTPS
-
- Janusz Chustecki,
- 01.09.2016, godz. 09:07
Eksperci od spraw bezpieczeństwa odkryli, że hakerzy potrafią oszukać przeglądarkę – zmieniając zawartość pliku konfiguracyjnego, w którym jeden z parametrów podaje adres webowego serwera proxy - co pozwala im wykradać z zaatakowanego w ten sposób komputera poufne dane. Metoda taka jest co prawda znana jest od dawna, ale hakerzy zastosowali tym razem nieco inny mechanizm.
Atak taki zaczyna się zawsze od wysłania spamu, któremu towarzyszy załącznik .docx. Gdy użytkownik otworzy załącznik, dokument wyświetla osadzony element przypominający fakturę lub paragon. Gdy użytkownik kliknie taki element, ten uruchomi malware JavaScript, który z kolei otwiera kilka skryptów PowerShell. Jeden z nich generuje podpisany certyfikat root, który jest później wykorzystywany do monitorowania ruchu HTTPS. Inny skrypt dołącza ten sam certyfikat do przeglądarki Firefox
Jest jeszcze trzeci skrypt. Ten instaluje na komputerze klienta, który komunikuje się z siecią Tor, w której znajduje fałszywy serwer proxy. Jednocześnie malware zmienia konfigurację przeglądarki w taki sposób, że komunikuje się ona nie z prawdziwym serwerem proxy, ale z fałszywym funkcjonującym w sieci Tor. W ten sposób haker może kontrolować cały webowy ruch obsługiwany przez komputer (tym HTTPS), gdyż trafia on do fałszywego serwera proxy.
