Probablemente, algún malware se estaba haciendo pasar por Fiddler , como señaló el desarrollador original de Fiddler, Eric Lawrence :
Varias piezas de malware comprueban si Fiddler está en uso, y si es así, dejan de realizar sus actividades maliciosas para intentar ocultar sus acciones.
( fuente )
Fiddler es una herramienta de depuración web. No tiene ningún comportamiento malicioso, y nunca se instala a menos que lo instale personalmente utilizando el instalador descargado de Telerik. El escenario descrito aquí es una pieza de malware que intenta evitar la detección haciéndose parecer Fiddler.
( fuente )
Comportamiento
La señal más clara de malware es que Google Chrome no carga los sitios web HTTPS según lo previsto, a menos que esté utilizando Fiddler para capturar tráfico. Fiddler no está diseñado para interferir con su navegación web normal cuando no está en uso.
Para que el malware se oculte, necesita secuestrar el proxy Fiddler y renunciar al tráfico HTTPS con la clave privada del certificado Fiddler. Es trivial cambiar la configuración del proxy , y es posible obtener una copia de la clave privada de su instalación de Fiddler .
Certificado de raíz
Hizo que Fiddler instalara un certificado raíz en su computadora, que le permite insertarse como un hombre en el medio (MitM) para monitorear el contenido de los datos que se envían a través de HTTPS:
Por el contrario, así es como normalmente se confía en https://www.google.com/ :
Su computadora confía en DO_NOT_TRUST_FiddlerRoot
certificado porque se instaló en el almacén de confianza de certificados de su sistema operativo.
Proxy para interceptar HTTPS
Usted indicó que HTTPS se comporta correctamente en Mozilla Firefox, que se puede configurar para usar sus propias reglas de proxy independientes en lugar de las reglas de proxy del sistema operativo. Google Chrome utiliza el proxy del sistema operativo sin una opción fácil para hacer lo contrario.
Al pasar por el proxy de nivel de sistema operativo de Fiddler, Fiddler ahora puede ser el MitM para capturar datos HTTPS sin cifrar mientras aún sirve el sitio. Fiddler busca alguna página web, luego la firma como "www.google.com" utilizando el certificado en el que se confiaba anteriormente DO_NOT_TRUST_FiddlerRoot
.
En estas circunstancias, el malware puede hacerse cargo tanto del proxy como del certificado para proporcionarle el sitio incorrecto mientras sigue mostrándole el . Puedo ver esto llevando a elaborados ataques de phishing.
Preocupaciones de seguridad
Relacionado con Security Stack Exchange: qué riesgos de seguridad plantean los proveedores de software que implementan proxies de interceptación SSL en los escritorios de los usuarios
Como Eric Lawrence escribió una vez :
Las capacidades de interceptación HTTPS de Fiddler (con razón) despiertan dudas entre los usuarios conscientes de la seguridad.
Es por eso que Fiddler advierte sobre las implicaciones de seguridad de interceptar el tráfico HTTPS:
Por error del usuario o instalación de malware, Fiddler se ha asociado con varios problemas:
Aunque Fiddler en sí mismo no es un programa dañino, su mal uso y malentendidos llevaron a la mala reputación del pasado y a los virus que pretenden ser Fiddler .
Eliminación
No sé si su computadora ha sido comprometida por algún secuestrador de Fiddler, pero indicó que no tiene tiempo para limpiar su computadora y reinstalarla, por lo que esperamos que los siguientes pasos puedan deshacerse de Fiddler y restaurar el comportamiento web seguro adecuado. (Todavía recomendaría reinstalar y cambiar sus contraseñas más tarde, especialmente si se toma en serio la seguridad. Escribió que Spybot - Search & Destroy encontró algo de malware).
Prólogo: Desconfigurar Fiddler
El póster original descubrió estos pasos adicionales para resolver su problema con Fiddler:
En última instancia, lo que solucionó fue: Configuración -> Mostrar configuración avanzada -> Bajo red -> Cambiar configuración de proxy -> Avanzado -> Restablecer
y
También en la Configuración de Fiddler deshabilité las opciones que le permiten descifrar el tráfico HTTPS antes de desinstalar y volver a borrar los certificados.
Eliminar los certificados raíz de Fiddler
- Presione Win+r
- Abierto:
certmgr.msc
- Mire a través de todas las carpetas y elimine el
DO_NOT_TRUST_FiddlerRoot
certificado.
Desinstalar Fiddler
- Vaya al Panel de control »Programas» Programas y características.
- Desinstalar Fiddler. Una fuente dice que Fiddler puede llamarse "FiddlerRoot" o "BrowserSafeguard".
Borrar configuraciones de proxy
Asumiendo que normalmente no usa un proxy diferente ...
- Vaya al Panel de control »Opciones de Internet.
- En Propiedades de Internet, vaya a la pestaña "Conexiones".
- En "Configuración de red de área local (LAN)", haga clic en "Configuración de LAN".
- Borre y desmarque su configuración de proxy de esta manera:
Eliminar el malware
Como se sugirió anteriormente en Super User , debe intentar encontrar y eliminar el malware original que muestra las páginas web HTTPS modificadas.
Consejos detallados:
¿Cómo puedo eliminar spyware malicioso, malware, adware, virus, troyanos o rootkits de mi PC?