MiniDuke: nuevo programa malicioso capaz de espiar a organizaciones gubernamentales e instituciones

El equipo de expertos de Kaspersky Lab publico un nuevo informe sobre una investigación de una serie de incidentes de seguridad que implicó el uso de un exploit en un PDF de Adobe Reader. Se trata de un nuevo programa malicioso nuevo conocido como MiniDuke. MiniDuke fue utilizado para atacar a varias entidades gubernamentales e instituciones de todo el mundo durante la última semana. Los expertos de Kaspersky Lab, en colaboración con CrySys Lab, examinaron los ataques con detalle y publicaron sus hallazgos.

De acuerdo con el análisis de Kaspersky Lab, una serie de objetivos de alto perfil han sido ya comprometidos por los ataques de MiniDuke, entre estos objetivos están incluidas las entidades gubernamentales de Ucrania, Rumania, Portugal, República Checa, Irlanda y Bélgica. Por otra parte, el instituto de investigación "think tanks" y un proveedor de servicios de salud en los Estados Unidos también fueron atacados, al igual que una importante fundación de investigación en Hungría.

Según Kaspersky Lab los ataques con el MalWare MiniDuke siguen activos, y para engañar a sus víctimas, los atacantes utilizan técnicas de ingeniería social muy eficaces y que abren la puerta para enviar documentos PDF maliciosos a sus objetivos. Los archivos PDF tienen contenido bien elaborado con información falsa sobre un supuesto seminario de derechos humanos, así como datos sobre la política exterior en Ucrania y planes de afiliados a la OTAN. Estos archivos PDF maliciosos fueron manipulados fraudulentamente utilizando exploits que atacan las versiones 9, 10 y 11 de Adobe Reader.

Una vez que el exploit está en el sistema, este descarga un programa muy ligero (20 Kb) en el disco duro de la víctima. Esta descarga es única y contiene un sistema de puerta trasera escrito en Assembler. Cuando se carga al iniciar el sistema, el programa malicioso utiliza una serie de cálculos matemáticos para determinar la huella digital de la computadora, y utiliza estos datos para cifrar luego sus comunicaciones. También está programado para evitar actuar en sistemas de vitalización por software, como VMware. Si se enfrenta con cualquiera de estos indicadores, el programa malicioso se ocultara en el sistema, en lugar de avanzar y exponer así su funcionalidad. Lo anterior indica que los creadores de malware son verdaderos profesionales en este campo.