Kaspersky ha descubierto una nueva infección de malware que intercepta la interacción de las víctimas con HTTPS permitiendo a los hackers instalar certificados digitales falsos y espiar la actividad de los navegadores de las víctimas.

Conocido como Reductor, el malware fue detectado por primera vez en abril de este año, y los expertos en ciberseguridad creen que un grupo conocido como Turla es el responsable del mismo. Kaspersky afirma que Turla es un grupo de habla rusa, y que Reductor está conectado a un troyano antiguo conocido con el nombre de COMpFun.

Lo que distingue a Reductor, según Kaspersky, es el hecho que puede interferir en el proceso de intercambio de información entre el navegador y un sitio web. Por lo general, esto se hace a través del protocolo HTTPS, y debería estar cifrado e inaccesible para terceros.

Aún así, un “grupo de hackers de alto perfil” puede conseguirlo, señala. “Reductor es una herramienta desarrollada para tal intrusión y se utilizó para el ciberespionaje de entidades diplomáticas en países de la Comunidad de Estados Independientes, principalmente mediante el control del tráfico de Internet de sus empleados”, añade la empresa de ciberseguridad.

“Además, los módulos descubiertos tenían funciones RAT (Remote Administration Tool) y las capacidades de este malware eran casi ilimitadas.”

Reductor se estaba propagando a través de COMpFun, o inyectando el programa malicioso en un instalador de software legítimo, que se encuentra en un sitio de warez (software clandestino).

“Aunque los instaladores originales disponibles en esos sitios web no estaban infectados, terminaban en los equipos de las víctimas portando malware”, explica Kaspersky.

Una vez que Reductor se instala, puede manipular los certificados digitales instalados, parchear el generador de números pseudo-aleatorios del navegador que se utiliza para encriptar el tráfico. Los hackers también podrían instalar un identificador basado tanto en hardware como en software, para poder identificar mejor a sus víctimas.