MiniDuke Malware nova grande ameaça atinge alvos do governo

Em 13 de fevereiro, o FireEye informou que os hackers estavam explorando ativamente o dia zero do Adobe Reader para compartilhar malware. Especialistas da Kaspersky e da empresa de segurança britânica CrySyS Lab descobriram que os mesmos dias zero são usados ​​para fins de alto perfil.

Os pesquisadores que descobriram a ameaça o nomearam MiniDuke por causa de suas semelhanças com as conhecidas Duqu e foi usado por criminosos cibernéticos para atacar 59 vítimas únicas em 23 países em todo o mundo, incluindo Brasil, Bulgária, Geórgia, Alemanha, Israel, Japão, Letônia, Líbano, Lituânia, Montenegro, Rússia e Reino Unido. .

Na Ucrânia, Bélgica, Portugal, Romênia, República Tcheca e Irlanda, malware foi detectado em sistemas governamentais. Na Hungria, ele foi visto em sites de redes sociais e nos Estados Unidos, em think tanks, em um instituto de pesquisa e em um profissional de saúde.

Os especialistas da Kaspersky dizem que o alto número de vítimas de alto perfil torna a campanha maliciosa especial, algo como o infame Outubro Vermelho.

O software malicioso é espalhado por documentos PDF inteligentes que apresentam problemas relacionados à OTAN, à política externa da Ucrânia ou a um seminário sobre direitos humanos.

Depois que alguém abre o PDF, o malware usa uma técnica de comunicação interessante. Ele possui contatos de algumas contas do Twitter que publicam cadeias criptografadas que contêm um “uri!” (Ver foto)

Esse ID criptografado contém os detalhes da conexão com um servidor C&C.

“Com base na nossa experiência, é um ataque único e muito estranho. Os muitos alvos diferentes afetados em países individuais, combinados com a escolha de perfis de alvos muito altos, as iscas de documentos que eles usam e as estranhas backdoors revelam uma ameaça com comportamentos completamente incomuns ”, explica Kaspersky em um relatório detalhado. (PDF)

“Simplesmente chegou ao nosso conhecimento então Duqu bem como e outubro Vermelho, como a abordagem minimalista, servidores invadidos, canais criptografados e tipologia das vítimas “. relatórios Softpedia.