El misterio de MiniDuke: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor

(o cuántas palabras sofisticadas pueden caber en un título)

El 12 de febrero de 2013, FireEye anunciaba el descubrimiento de un exploit día cero para Adobe Reader que descarga un avanzado programa malicioso, desconocido hasta ahora. Lo llamamos “ItaDuke” porque nos recordaba a Duqu y por los comentarios en italiano que se encuentran en el shellcode, tomados de la obra de dante “La Divina Comedia”.

Desde la publicación del aviso, hemos observado varios nuevos ataques que usaban el mismo exploit (CVE-2013-0640) que descarga otros programas maliciosos. Entre ellos, notamos un par de incidentes tan extraños en muchas maneras que decidimos analizarlos detalladamente.

Junto a nuestros colegas de CrySys Lab, realizamos un profundo análisis de estos extraños incidentes que sugieren una nueva amenaza, hasta ahora desconocida. Para leer el análisis de CrySys Lab, pulsa aquí. Nuestro análisis aparece publicado a continuación.

Entre los principales hallazgos, tenemos:

• Los atacantes de MiniDuke siguen activos en este momento y han estado creando programas maliciosos por lo menos hasta el 20 de febrero de 2013. Para capturar a sus víctimas, utilizan técnicas de ingeniería social extremadamente eficaces, como el envío de documentos PDF infectados. Los documentos PDF contenían textos muy relevantes y bien elaborados sobre seminarios de derechos humanos (ASEM), la política exterior de Ucrania y sus planes de incorporarse a la OTAN.

Estos archivos maliciosos PDF venían cargados de exploits para atacar las versiones 9, 10 y 11 de Adobe Reader, burlando la sandbox.

• Una vez que se vulneraba el sistema, se instalaba en el disco de la víctima un pequeño descargador de apenas 20KB de tamaño. Este descargador es único por sistema y contiene un troyano puerta trasera personalizado, escrito en Assembler. Cuando se carga al arrancar el sistema, este descargador recurre a una serie de cálculos matemáticos para determinar la huella digital única del ordenador, y usa este dato únicamente para codificar sus posteriores comunicaciones.

• Si el sistema atacado cumple con los requerimientos predefinidos, el programa malicioso usa Twitter (sin el conocimiento del usuario) y comienza a buscar tweets específicos en cuentas previamente elaboradas. Estas cuentas fueron creadas por los operadores del Comando y Control (C2) de MiniDuke y los tweets mantienen etiquetas específicas con URLs codificadas para el troyano puerta trasera.

Estas URLs brindan acceso a los C2s, que a su vez proveen comandos potenciales y transferencias codificadas de más troyanos puerta trasera al sistema a través de archivos GIF.

• El análisis muestra que los creadores de MiniDuke cuentan con un dinámico sistema de apoyo que también puede pasar desapercibido ante la detección antivirus; si Twitter no está funcionando o si las cuentas caen, el programa malicioso puede recurrir a Google Search para encontrar las cadenas codificadas al próximo C2. Este modelo es flexible y permite que los operadores cambien constantemente la forma en que los troyanos puerta trasera reciben otros comandos o códigos maliciosos, según sea el caso.

• Una vez que el sistema infectado encuentra el C2, recibe troyanos puerta trasera codificados disimulados en archivos GIF y camuflados como imágenes que aparecen en el equipo de la víctima.

Tras instalarse en el equipo, descargan un troyano puerta trasera más grande que es el que realiza las tareas de ciberespionaje a través de funciones como copiar archivo, mover archivo, crear directorio, finalizar proceso, y por supuesto, descargar y ejecutar nuevos programas maliciosos y herramientas de movimiento lateral.

• Finalmente, el troyano puerta trasera se conecta con dos servidores, uno en Panamá y otro en Turquía para recibir instrucciones de los atacantes.

• Los atacantes dejaron un pequeño rastro en el código, en la forma del número 666 (0x29A hex) antes de las subrutinas de codificación:

• Al analizar los registros en los servidores de comando, detectamos 59 víctimas únicas en 23 países:
Bélgica, Brasil, Bulgaria, República Checa, Georgia, Alemania, Hungría, Irlanda, Israel, Japón, Letonia, Líbano, Lituania, Montenegro, Portugal, Rumania, Federación Rusa, Eslovenia, España, Turquía, Ucrania, Reino Unido y Estados Unidos.

Para acceder al analisis detallado y para saber como protegerte contra este ataque, por favor lee:

[The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor.PDF]