Большинство хакеров не способно «заразить» браузер, используя найденные уязвимости, однако одна группа сильно продвинулась в этом вопросе. Сотрудники Лаборатории Касперского сообщили о попытках российской Turla отследить трафик с TLS-шифрованием путём модификации Chrome и Firefox.
Вначале злоумышленники заражают систему трояном Reductor для получения удаленного доступа, а затем используют его для изменения браузеров. Хакеры устанавливают собственные сертификаты для перехвата TLS-трафика от хоста и исправляют генерацию псевдослучайных чисел, которая согласовывает соединения TLS. Это позволяет им отслеживать зашифрованный трафик, в то время как система считает, что зашёл рядовой пользователь.
Почему злоумышленники это делают, не совсем понятно. Обычно после заражения системы трояном хакер итак получает полный доступ, ему незачем вносить изменения в браузер для отслеживания трафика. ZDNet предполагает, что таким образом злоумышленники оставляют для себя «запасной вход» — люди находят и удаляют троян, но не переустанавливают свой браузер.