Nuevo malware MINIDUKE que utiliza un’Exploit’ de Adobe Reader (ZERO DAY)

Este programa malicioso ha sido utilizado para atacar entidades gubernamentales e instituciones de todo el mundo (España está entre los países víctima de este ´malware´ MiniDuke)

Los ciberdelincuentes utilizan técnicas de ingeniería muy eficaces.
España es uno de los países víctima de MiniDuke, nuevo programa malicioso diseñado para espiar a entidades gubernamentales e instituciones en todo el mundo. Los cibercriminales combinan sofisticadas amenazas de la vieja escuela con ‘exploits’ avanzados en Adobe Reader para reunir información de inteligencia geopolítica de grandes objetivos.

Los investigadores han publicado un nuevo informe de investigación en el que analizan una serie de incidentes de seguridad sobre una vulnerabilidad recientemente descubierta en un ‘exploit’ de Adobe Reader y de un nuevo programa malicioso altamente personalizado, conocido como MiniDuke.

Desde la compañía de seguridad han explicado que el ‘backdoor’ MiniDuke ha sido utilizado para atacar varias entidades gubernamentales e instituciones de todo el mundo durante la última semana. Según análisis de Kaspersky Lab, una serie de objetivos de alto perfil se han visto afectados. Entre ellos se encuentran entidades gubernamentales de España, Ukraina, Bélgica, Portugal, Rumania, República Checa e Irlanda.

“Este es un ataque cibernético muy inusual. Recuerdo que este tipo de programas maliciosos se utilizaban desde finales de los 90 hasta comienzos del año 2000. Me pregunto si este tipo de malware, que ha estado en hibernación durante más de una década, ha despertado de repente y se ha unido al sofisticado grupo de amenazas activas en el mundo cibernético. Esta vieja escuela de creadores de malware fueron extremadamente efectivos en el pasado creando virus muy complejos, y ahora se están combinando estas habilidades con nuevos exploits”, ha comentado Eugene Kaspersky.

Funcionamiento del MiniDuke:

Indican que los creadores de MiniDuke aún están enviando ataques y creando nuevas variantes recientemente, por ejemplo el ppdo 20 de febrero. Para poner en peligro a las víctimas, los ciberdelincuentes utilizaron técnicas de ingeniería social muy eficaces, mediante el envío de documentos PDF maliciosos a sus objetivos.

Los archivos PDF contienen un contenido bien elaborado y relevante, como información sobre seminarios de la Organización de los Derechos Humanos, datos de política exterior de Ukraina y planes de los miembros de la OTAN. Estos archivos PDF maliciosos se unieron a exploits que atacaban las versiones de Adobe Reader 9, 10 y 11, sin pasar por su ‘sandbox’.

Según la compañía de seguridad, las herramientas utilizadas para crear estos ‘exploits’ parece que son las mismas que se usaron en un reciente ataque reportado por FireEye. Sin embargo, los ‘exploits’ usados en los ataques MiniDuke tenían fines diferentes y su propio malware personalizado.

Una vez que el ‘exploit’ ha entrado en el sistema, se descarga un pequeño programa en el disco de la víctima de sólo 20kb de tamaño. Este programa es único por sistema y contiene un ‘backdoor’ personalizado escrito en Assembler. Cuando se carga, al iniciar el sistema, utiliza una serie de cálculos matemáticos para determinar la única huella digital del equipo, y a su vez utiliza estos datos para cifrar sus comunicaciones. También está programado para evitar el análisis de un conjunto de herramientas cifradas de algunos entornos.

Si localiza alguno de estos indicadores, se ejecutará en ese entorno en lugar de pasar a otra etapa que exponga más su funcionalidad, lo que indica que los creadores del malware saben exactamente lo que los profesionales de la industria de la seguridad TI están haciendo con el fin de analizar e identificar malware.

Si el sistema al que se dirige cumple con los requisitos predefinidos, el malware usa Twitter (sin el conocimiento del usuario) y empieza a buscar ‘tuits’ específicos de cuentas previamente creadas. Estas cuentas han sido puestas en marcha por los operadores del Comando&Control MiniDuke (C2). Los ‘tuits’ usan etiquetas específicas de etiquetado URL cifrado para los ‘backdoors’. Estas URL proporcionan acceso a los C2s, que luego aportan posibles comandos y transferencias cifradas de ‘backdoors’ adicionales en el sistema a través de los archivos GIF.

Según el análisis, parece que los creadores MiniDuke cuentan con un sistema de backup dinámico que también escapa a la detección. Si Twitter no funciona o las cuentas son ajenas al malware, recurre al buscador de Google para encontrar los enlaces cifrados que le deriven al siguiente C2. Este modelo es flexible y permite a los ciberdelincuentes cambiar constantemente sus backdoors, así cómo recuperar más comandos o código malicioso, según sea necesario.

Una vez que el sistema infectado localiza el C2, recibe backdoors cifrados que están integrados dentro de los archivos GIF y camuflados en imágenes que aparecen en el equipo de la víctima. Cuando ya está en el equipo, se puede descargar un backdoor más grande que desempeñe acciones básicas como la copia de archivos, mover archivos, eliminar archivos, hacer directorio, terminar procesos y, por supuesto, descargar y ejecutar nuevos programas maliciosos.

El malware backdoor conecta con dos servidores, uno en Panamá y otro en Turquía, para recibir instrucciones de los cibercriminales. De esta forma, este malware espía consigue recabar información de sus víctimas.

[Enlace Retirado]