Menu
Cómo ha actuado el MiniDuke

¿Cómo ha actuado el MiniDuke dirigido a organismos gubernamentales?

, , , , ,

Kaspersky Lab ha advertido de la existencia y propagación de un MiniDuke que combina “amenazas de la vieja escuela con exploits avanzados en Adobe Reader para reunir información de inteligencia geopolítica de grandes objetivos” con instituciones gubernamentales como objetivo.

El ataque tiene su origen en Ucrania, después los backdoors conectan con servidores de Turquía y Panamá y, oh, el ataque se ha paseado por media Europa y gran parte de los EEUU. ¡La globalhackización!. Desde luego, los creadores del malware no son precisamente neófitos.

Miniduke: un ataque en cinco fases

  1. Creación de archivos PDF con supuestos datos de la política exterior de Ucrania, planes de los miembros de la OTAN, y seminarios de los Derechos Humanos.
  2. Los archivos PDF contienen exploits para vulnerar la seguridad de Adobe Reader 9, 10 y 11 (CVE-2013-0640).
  3. Cuando el exploit se pone en funcionamiento, carga un programa de 20kb. Este programa es un backdoor personalizado escrito en Assembler. Cuando se carga, al iniciar el sistema, utiliza una serie de cálculos matemáticos para determinar la única huella digital del equipo y, a su vez, utiliza estos datos para cifrar sus comunicaciones. También está programado para evitar el análisis de un conjunto de herramientas cifradas de algunos entornos, como VMware.
  4. El malware usa Twitter (sin el conocimiento del usuario) y empieza a buscar tweets específicos de cuentas previamente creadas. Estas cuentas con sus tuits, usan etiquetas específicas de etiquetado URL cifrado para los backdoors, que permite a los creadores conectar con la máquina.
  5. Una vez que el sistema infectado contacta el atacante, recibe backdoors cifrados que están integrados dentro de los archivos GIF y camuflados en imágenes que aparecen en el equipo de la víctima. Cuando ya está en el equipo, se puede descargar un backdoor más grande que desempeñe acciones básicas como la copia de archivos, mover archivos, eliminar archivos, hacer directorio, terminar procesos y, por supuesto, descargar y ejecutar nuevos programas maliciosos.

Related Posts