Ataques Desencadeados pelo Trojan MiniDuke

Um trojan conhecido como MiniDuke, estaria sendo usado para realizar ataques direcionados a instituições governamentais internacionais e empresas. O malware infectou muitos computadores através de uma falha no recurso de sandbox do Adobe Reader (CVE-2013-0640), que foi descoberta em dezembro de 2012. Os atacantes usaram uma abordagem inteligente: os PDFs falsos fingiram conter informações sobre questões de direitos humanos e sobre os planos da Otan de adesão para a Ucrânia e tinham nomes de arquivos, que aparentemente, seriam convincentes.

Aparentemente, este malware é um pequeno programa de apenas 22 KB, que está escrito em assembly. O conteúdo malicioso foi ofuscado usando um compilador polimórfico, que poderia produzir uma nova variante do malware a cada poucos minutos. Como todas as amostras de trojan que foram encontradas são diferentes, um componente de detecção de assinatura não terá nenhuma possibilidade de identificar o malware. No entanto, os PDFs que contêm o malware podem ser identificados porque incluem uma sequência de caracteres: "@ 34fZ7E* p \".

Os criadores do ataque permanecem desconhecidos. Segundo o relatório da Kaspersky, há indícios de que o trojan foi desenvolvido por membros do grupo de autores de vírus 29A, cuja dissolução ocorreu em 2008: o nome de código do malware continha a sequência de número "666" - uma numeração decimal bastante infame.

Fonte: Under-Linux