攻击者将计算机上的流氓代理部署到劫持HTTPS流量

最近几个月，安全研究人员突出显示了如何滥用浏览器和操作系统中的Web代理配置来窃取敏感的用户数据。似乎攻击者正在捕捉。

来自Microsoft的恶意软件研究人员发现并分析了一个新的攻击，使用Word文档与恶意代码不安装传统恶意软件，而是康复浏览器使用攻击者控制的Web代理。

除了部署Rogue代理设置外，攻击还在系统上安装了自签名的根证书，以便攻击者可以在通过其代理服务器传递时窥探加密的HTTPS流量。

该攻击从具有.docx附件的垃圾邮件映射开始。打开后，文档显示类似发票或收据的嵌入元素。如果单击并允许运行，则嵌入对象执行恶意JavaScript代码。

JavaScript代码被困扰，但其目的是删除并执行多个PowerShell脚本。PowerShell是一个脚本环境，内置于Windows中，允许管理任务的自动化。

其中一个PowerShell脚本部署了一个自签名的根证书，稍后将用于监视HTTPS流量。另一个脚本为Mozilla Firefox浏览器添加了与Mozilla Firefox浏览器相同的证书，它使用与Windows中的单独的证书存储库。

第三个脚本安装一个客户端，允许计算机连接到TOR匿名网络。这是因为攻击者使用Tor .onion网站来服务代理配置文件。

然后在注册表中修改系统的代理自动配置设置以指向.onion地址。这允许攻击者在将来轻松更改代理服务器，如果研究人员正在脱机。

“此时，系统完全感染，并且可以通过分配的代理服务器看到包括HTTPS的Web流量，”Microsoft研究人员在博客文章中表示。“这使攻击者能够远程重定向，修改和监控流量。无需用户意识，敏感信息或网络凭据可能会被偷走。“

来自SAN互联网风暴中心的研究人员最近报告了巴西的类似攻击，黑客在计算机上安装了流氓代理，以便将流量劫持到在线银行网站。在这种情况下部署了流氓根CA证书，以便绕过HTTPS加密。

在本月早些时候的Def Con和Black Hat Security会议上，一些研究人员展示了中间人攻击者如何滥用Web代理自动发现（WPAD）协议以远程劫持人员的在线帐户并窃取他们的敏感信息，即使这些用户访问过加密的HTTPS或VPN连接的网站。