Virusul “MiniDuke” foloseste un exploit PDF din Adobe Reader

Saptamana trecuta, Kaspersky Lab a a publicat un nou raport de cercetare ce analizeaza o serie de incidente de securitate in cadrul carora au fost utilizate exploit-urile PDF din Adobe Reader.

Denumit MiniDuke, malware-ul a fost folosit saptamana trecuta pentru a ataca mai multe organizatii guvernamentale si institutii din intreaga lume, printre care si Romania. intre timp, CEO-ul Kaspersky Lab, Eugene Kaspersky, a spus despre MiniDuke ca este un “atac cibernetic foarte neobisnuit”.

„Imi amintesc acest tip de malware de la sfarsitul anilor 1990 si inceputul anilor 2000. Ma intreb daca nu cumva acesti creatori de malware, care au fost inactivi mai bine de 10 ani, s-au trezit brusc si s-au alaturat unui grup complex si activ in lumea cibernetica. Desi sunt de moda veche, acestia au fost foarte eficienti in trecut, creand virusi foarte complecsi, iar acum isi folosesc aceste abilitati in combinatie cu noile exploit-uri avansate, capabile sa evite protectia sandbox, pentru a ataca organizatii guvernamentale sau institutii de cercetare din diferite tari” a spus Eugene Kaspersky.

Conform Kasperky, MiniDuke are la baza un program de descarare de doar 20 KB care contine un “backdoor personalizat.” Fiind incarcat de indata ce sistemul este pornit, programul de descarcare utilizeaza un set de calcule matematice pentru a stabili amprenta unica a computerului si foloseste aceste date pentru a cripta intr-un mod unic actiunile de comunicare ulterioare. De asemenea, programul este construit astfel incat sa evite analiza de catre un set codificat de instrumente in anumite medii, cum ar fi VMware. Daca intalneste unul dintre acesti indicatori, programul ramane inactiv in mediul respectiv, in loc sa treaca la stadiul urmator si sa isi expuna mai mult modalitatea de functionare printr-o decriptare suplimentara. Acest lucru indica faptul ca autorii malware-ului stiu cu exactitate ce fac specialistii in antivirusi si in securitate IT pentru a analiza si identifica un malware.

De asemenea, in schema este inclusa si reteaua de socializare Twitter, pe care virusul o utilizeaza, fara stirea utilizatorului, si incepea sa caute postari specifice de pe conturi create in prealabil. Aceste conturi erau create de operatorii de comanda si control ai MiniDuke, iar tweet-urile contin etichete specifice care reprezinta URL-urile criptate pentru backdoor-uri. Aceste URL-uri ofera acces catre centrele de comanda si de control, care furnizeaza in sistem potentiale comenzi si transferuri criptate de backdoor-uri suplimentare, prin intermediul fisierelor GIF.

MiniDuke este conectat la doua servere dedicate de comanda si control, unul in Panama, altul in Turcia, de unde primeste instructiuni de la atacatori.

Sistemul Kaspersky Lab detecteaza si neutralizeaza malware-ul MiniDuke, clasificat ca HEUR:Backdoor.Win32.MiniDuke.gen si Backdoor.Win32.Miniduke. Kaspersky Lab detecteaza, de asemenea, exploit-urile folosite in documentele PDF, clasificate ca Exploit.JS.Pdfka.giy.

Kaspersky este renumit pentru faptul ca a demascat numerosi virusi foarte periculosi, inclusiv infamul Flame. In ianuarie, compania a identificat “Red October“, o retea de spionaj cibernetic ce viza institutiile guvernamentale din intreaga lume.