Gli esperti dei Kaspersky Lab hanno pubblicato un nuovo report dedicato al programma nocivo progettato per spiare enti governativi e istituzioni di tutto il mondo, noto con il nome di MiniDuke, e all’uso di recenti exploit scoperti nei documenti Pdf di Adobe Reader. In collaborazione con CrySys Lab sono stati analizzati gli attacchi in dettaglio e pubblicati i risultati dell’analisi in un report di cui riportiamo le linee guida.
Per quanto riguarda MiniDuke gli autori di questa backdoor combinano abilità di scrittura con gli avanzati exploit presenti in Adobe Reader, per colpire obiettivi di alto profilo. MiniDuke è stato utilizzato per attacchi multipli contro enti governativi e istituzioni in Ucraina, Belgio, Portogallo, Romania, Repubblica Ceca e Irlanda. ” Si tratta di un attacco insolito- ha commentato Eugene Kaspersky, fondatore e Ceo di Kaspersky Lab. “Questo tipo di programmazione nociva infatti non era più in uso dalla fine degli anni 90 (la backdoor è stata scritta in Assembler) ed è stata ripresa da un gruppo di autori “old school” che in passato ha creato malware estremamente efficaci e che ora stanno combinando queste abilità con i nuovi exploit sandbox-evading per colpire enti o istituti di ricerca in diversi paesi”.
Il malware Mini Duke è stato creato il 20 febbraio 2013 e in questo momento i suoi autori sono ancora attivi: i criminali informatici si sono valsi di tecniche di ingegneria sociale come l’invio di Pdf nocivi agli obiettivi prescelti. I contenuti presenti nei file Pdf erano di una certa rilevanza: ad esempio si trattava di informazioni sulla politica estera in Ucraina e sui piani di adesione alla NAto. Questi file Pdf nocivi contenevano exploit che attaccavano le versioni 9,10 e 11 di Adobe Reader.
Una volta che il sistema viene colpito dagli exploit, viene rilasciato un piccolo downloader di 20 Kbyte sull’hard disk del computer; questo downloader è unico per ogni macchina a e contiene una backdoor personalizzata scritta in Assembler. Quando viene caricato l’avvio del sistema, il downloader utilizza una serie di calcoli matematici per determinare l’impronta digitale per accedere al computer e utilizza quest’ultima per crittografare le comunicazioni. Inoltre è programmato per evitare le analisi attraverso un set di strumenti hardcoded presenti in alcuni ambienti come VMware.
Se il sistema soddisfa i requisiti prestabiliti, il malware utilizza Twitter all’insaputa dell’utente e inizia a cercare tweet specifici di account già in uso. Si tratta di appositi account creati dagli operatori dei server di comando e controllo di Miniduke e i tweet mantengono tag specifici di categorie crittografate per gli Url della backdoor.
Questi Url consentono di accedere al C2 che fornisce i comandi e trasferisce in maniera crittografata ulteriori backdoor sui sistemi tramite i file GIF. Se Twitter non funziona o gli account sono colpiti da malware si può utilizzare Google Search per trovare le stringhe crittografate del prossimo C2. Questo modello è flessibile e permette agli operatori di cambiare continuamente le loro backdoor e recuperare ulteriori comandi o codici nocivi in base alle esigenze.
Una volta che il sistema infetto localizza il C2, riceve le backdoor criptate che si confondono tra i file Gif sotto forma di immagini che appaiono sul computer della vittima.
La backdoor del malware si connette ai due server, uno a Panama e uno in Turchia, per ricevere poi istruzioni dai cybercriminali.
Informazioni più dettagliate su come proteggersi da questi attacchi malware sono pubblicate nella Securelist di Kaspersky Lab.