De acordo com a companhia, a única diferença importante entre a variante atual do malware e sua versão original está na forma de propagação. O código utilizava como isca uma página chamada "What's the Time in China" ("Que horas são na China", em tradução), contendo um relógio que indicava data e hora e infectava os visitantes. A nova versão, por sua vez, utiliza uma brecha do PDF Adobe Reader para se alojar na máquina da vítima.
"Embora os ataques recentes tenham sido detectados principalmente em países membros da OTAN e países do Leste Europeu, é grande a probabilidade de que o MiniDuke esteja agindo em diversas outras áreas do globo, por meio de outras estratégias", afirma Eduardo D´Antona, parceiro da Bidefender no Brasil.
Na avaliação da empresa de antivírus, a descoberta no ano passado sugere que a comunidade de segurança está apenas começando a entender o tamanho e o alcance do MiniDuke. A empresa informou que ainda está analisando as amostras e irá comunicar quaisquer outras descobertas significativas sobre a ameaça.
Já se sabe que o MiniDuke tentou roubar informações de governos da Irlanda, Bélgica, Romênia, Portugal e República Checa, bem como de vários institutos de saúde privada nos EUA e fez outras vítimas no Japão, Brasil e outros países.
Ataques personalizados
Segundo a empresa de segurança Kaspersky Lab, o malware envia PDFs comprometidos às suas vítimas e, devido ao alto perfil das empresas que o MiniDuke visa, os crackers utilizaram conteúdos personalizados, contendo informações sobre um suposto seminário dedicado aos direitos humanos, bem como dados sobre a política externa da Ucrânia e planos de adesão à OTAN.
Os PDFs maliciosos atingem as versões 9, 10 e 11 do Adobe Reader, contornando os sistemas de segurança (sandbox) do software. A análise da Kaspersky foi realizada em conjunto com a empresa de segurança CrySyS Lab.
Vale lembrar que, no início de fevereiro, a empresa de segurança FireEye identificou um malware que explorava uma vulnerabilidade 0-day do Adobe Reader. Essa falha (CVE-2013-0640), segundo a CrySys Lab, é a mesma utilizada pelo MiniDuke nos ataques.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário