Miniduke, o Cómo Realizar Espionaje Gubernamental a Través de Adobe Reader.
Se ha descubierto una micro-puerta trasera de sólo 20kb oculta tras una vulnerabilidad de Adobe Reader, cuyo objetivo no es otro que el espionaje gubernamental
Sergio Méndez Galindo
4 de March · 694 palabras.
4 de March · 694 palabras.
x
🕘 Resumen
FireEye ha revelado un ataque zero-day en Adobe Reader que ha sido explotado para descargar malware desconocido previamente. El malware ha sido nombrado como ItaDuke, ya que tiene algunas similitudes con el conocido Duqu, y también contiene textos extraídos de La Divina Comedia de Dante Alighieri en su código. Desde que se anunció el ataque, se han observado nuevos ataques basados en el mismo exploit que descargan otro tipo de malware. Los atacantes responsables de MiniDuke siguen activos hasta hoy y han creado el malware el 20 de febrero de 2013. Para comprometer a las víctimas, los delincuentes han empleado técnicas de ingeniería social extremadamente refinadas, como enviar documentos maliciosos en formato PDF a su objetivo, que contienen información referente a Human Rights Seminar Information (ASEM), planes de miembros de la OTAN y aspectos políticos referentes al gobierno ucraniano. Una vez que el sistema es afectado por el exploit, es descargado un descargador de malware único de tan solo 20 kb en el disco de la víctima, que contiene una puerta trasera y emplea el lenguaje ensamblador de bajo nivel. Este dropper ejecuta una serie de cálculos matemáticos para determinar la firma digital única de ese equipo y emplearla para encriptar las comunicaciones después.El pasado día 12 de Febrero de 2013, FireEye anunció el descubrimiento de un ataque zero-day funcionando sobre Adobe Reader, el cual está siendo empleado para descargar una muestra de malware antes desconocida. A este malware se le ha otorgado el nombre de ItaDuke, porque recordaba bastante al funcionamiento del conocido Duqu y porque también se han encontrado adjuntos a su código varios textos extraídos de la "Divina Comedia" de Dante Aligueri.
Desde el primeri anuncio, se han observado algunos nuevos ataques basados en el mismo exploit (CVE-2013-0640) que descargan otro tipo de malware. Entre estos se han descubierto algunos incidentes que son tan inusuales en algunos aspectos, que los laboratorios se han puesto a analizarlos en profundidad.
Información relevante descubierta
Los atacantes responsables de MiniDuke siguen activos en estos momentos y han creado el malware el 20 de Febrero de 2013. Para comprometer a las víctimas los delincuentes han empleado técnicas de ingeniería social extremadamente refinadas, algunas de las cuales implican el envío de documentos maliciosos en formato PDF a su objetivo. Estos Pdfs tenían un aspecto ciertamente relevante, como información referente a Human Rights Seminar Information (ASEM) así como planes de miembros de la OTAN y aspectos políticos referentes al gobierno ucraniano.
Estos documentos maliciosos en pdf han sido "armados" con exploits o vulnerabilidades que actúan sobre las versiones 9, 10 y 11 de Adobe Reader, traspasando su entorno seguro o Sandbox.
- Una vez que el sistema es afectado por el exploit, es descargado un downloader o descargador de malware de tan solo 20 kb en el disco de la víctima. Este descargador o "dropper" es único para cada sistema y contiene una "backdoor" o puerta trasera, la cual está programada en lenguaje "ensamblador" o de bajo nivel. Cuando se carga al inicio del sistema, el dropper ejecuta una serie de cálculos matemáticos para determinar la "firma digital" única de ese equipo y emplearla para encriptar las comunicaciones después.
- Si el sistema objetivo cumple los requerimientos predefinidos por el atacante, el malware empleará Twitter y empezará a buscar tweets específicos de cuentras pre-establecidas. Estas cuentas fueron previamente creadas por los operadores del "C2" o Command and Control de Miniduke. Los tweets mantendrán una serie de palabras específicas que contienen urls encriptadas para las backdoors o "puertas traseras"
Estas urls o direcciones web proporcionan acceso a los C2, los cuales proporcionarán comandos potenciales y transferencias encriptadas de "puertas traseras" adicionales al sistema por medio de archivos GIF.
- En base al análisis realizado se tiene la percepción de que los creadores de MiniDuke proporcionan un sistema dinámico de Backup que también es capaz de navegar "bajo el radar". Si twitter no funcionara o las cuentas no están disponibles, el malware podrá usar Google Search para encontrar las claves encriptadas necesarias para llegar al siguiente C2. Este modelo es áltamente flexible y permite a los operadores cambiar constantemente como sus "backdoors" reciben nuevos comandos o código en caso de necesitarlo.
- Cuando el sistema infectado localiza el C2 recibe los "backdoors" encriptados, los cuales vienen ofuscados entre los archivos GIF y con la apariencia de imágenes, que es lo que el usuario ve en su ordenador.
Una vez se han descargado en la máquina, pueden armar una "puerta trasera" mayor, que es la encargada de llevar a cabo las actividades de espionaje. Para ello se valdrá de funciones como: copiar archivos, mover archivos, eliminar archivos, crear directorio, "matar" procesos y, por supuesto, descargar y ejecutar nuevo malware y herramientas colaterales.
Analizando los archivos "log" (informes) de los servidores de comando, se han observado 59 víctimas únicas en 23 países:
- Bélgica, Brasil, Bulgaria, República Checa, Georgia, Alemania, Hungría, Irlanda, Israel, Japón, Letonia, Líbano, Lituania, Montenegro, Portugal, Rumanía, Federación Rusa, Eslovenia, España, Turquía, Ucrania, Reino Unido y los Estados Unidos de América.
Para obtener más detalles del informe y cómo protegerse del ataque, podéis leer -en inglés-:
[The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor.PDF]
Programas PC y software para acelerar el pc en nuestra web Mejor Antivirus