Publicado por el

Se descubre ‘MiniDuke’, programa malicioso para espiar a entidades gubernamentales

El equipo de Kaspersky ha publicado un nuevo informe de investigación en el que analizan una serie de incidentes de seguridad sobre una vulnerabilidad recientemente descubierta en un exploit de...

Se descubre 'MiniDuke', programa malicioso para espiar a entidades gubernamentales - spying

El equipo de Kaspersky ha publicado un nuevo informe de investigación en el que analizan una serie de incidentes de seguridad sobre una vulnerabilidad recientemente descubierta en un exploit de Adobe Reader (CVE-2013-6040) y de un nuevo programa malicioso altamente personalizado conocido como MiniDuke. El backdoor MiniDuke ha sido utilizado para atacar varias entidades gubernamentales e instituciones de todo el mundo durante la última semana. Lla gente de Kaspersky, en colaboración con CrySys Lab, han analizado los ataques en detalle y han publicado sus resultados.

Según el análisis de Kaspersky Lab, una serie de objetivos de alto perfil se han visto afectados por los ataques MiniDuke. Entre ellos se encuentran entidades gubernamentales de Ucrania, Bélgica, Portugal, Rumania, República Checa e Irlanda. Además, un instituto de investigación, dos centros de estudios, una importante fundación de investigación en Hungría y un proveedor de atención
médica de Estados Unidos también se han visto comprometidos.

Primeros resultados de la investigación:

  • Los creadores de MiniDuke aún están enviando ataques y han creado programas maliciosos recientemente, por ejemplo el pasado 20 de febrero de 2013. Para poner en peligro a las víctimas, los ciberdelincuentes utilizaron técnicas de ingeniería social muy eficaces, mediante el envío de documentos PDF maliciosos a sus objetivos. Los archivos PDF contienen un contenido bien elaborado y relevante, como información sobre seminarios de la Organización de los Derechos Humanos, datos de política exterior de Ucrania y planes de los miembros de la OTAN. Estos archivos PDF maliciosos se unieron a exploits que atacaban las versiones de Adobe Reader 9, 10 y 11, sin pasar por su sandbox. Las herramientas utilizadas para crear estos exploits parece que son las mismas que se usaron en un reciente ataque reportado por FireEye. Sin embargo, los exploits usados en los ataques MiniDuke tenían fines diferentes y su propio malware personalizado.
  • Una vez que el exploit ha entrado en el sistema, se descarga un pequeño programa en el disco de la víctima con sólo 20kb de tamaño. Este programa es único por sistema y contiene un backdoor personalizado escrito en Assembler. Cuando se carga, al iniciar el sistema, utiliza una serie de cálculos matemáticos para determinar la única huella digital del equipo, y a su vez utiliza estos datos para cifrar sus comunicaciones. También está programado para evitar el análisis de un conjunto de herramientas cifradas de algunos entornos, como VMware. Si localiza alguno de estos indicadores, se ejecutará en ese entorno en lugar de pasar a otra etapa que exponga más su funcionalidad, lo que indica que los creadores del malware saben exactamente lo que los profesionales de la industria de la seguridad TI están haciendo con el fin de analizar e identificar malware.
  • Si el sistema al que se dirige cumple con los requisitos predefinidos, el malware usa Twitter (sin el conocimiento del usuario) y empieza a buscar tweets específicos de cuentas previamente creadas. Estas cuentas han sido puestas en marcha por los operadores del Comando&Control MiniDuke (C2). Los tweets usan etiquetas específicas de etiquetado URL cifrado para los backdoors. Estas URL proporcionan acceso a los C2s, que luego aportan posibles comandos y transferencias cifradas de backdoors adicionales en el sistema a través de los archivos GIF.
  • Según el análisis, parece que los creadores del MiniDuke cuentan con un sistema de backup dinámico que también escapa a la detección. Si Twitter no funciona o las cuentas son ajenas al malware, recurre al buscador de Google para encontrar los enlaces cifrados que le deriven al siguiente C2. Este modelo es flexible y permite a los ciberdelincuentes cambiar constantemente sus backdoors, así cómo recuperar más comandos o código malicioso, según sea necesario.
  • Una vez que el sistema infectado localiza el C2, recibe backdoors cifrados que están integrados dentro de los archivos GIF y camuflados en imágenes que aparecen en el equipo de la víctima. Cuando ya está en el equipo, se puede descargar un backdoor más grande que desempeñe acciones básicas como la copia de archivos, mover archivos, eliminar archivos, hacer directorio, terminar procesos y, por supuesto, descargar y ejecutar nuevos programas maliciosos.
  • El malware backdoor se conecta con dos servidores, uno en Panamá y otro en Turquía, para recibir instrucciones de los cibercriminales.

El sistema de Kaspersky Lab detecta y neutraliza el malware MiniDuke, clasificado como HEUR:Backdoor.Win32.MiniDuke.gen y Backdoor.Win32.Miniduke.

Últimas noticias en WebAdictos