O regresso do sofisticado malware Miniduke

Publicado em 16/07/2014 02:00 em Segurança Informática

A empresa russa de segurança informática Kaspersky anunciou que os seus analistas detectaram novas amostras do Miniduke, um malware utilizado na ciberguerra mas que agora está a ser utilizado não só para ataque a entidades governamentais mas também para espionagem industrial e a empresas.

Em comunicado, a companhia russa afirma que o Miniduke ATP, uma ameaça identificada em 2013 e que servia principalmente para ataques contra governos e entidades oficiais, aparentava ter acabado ou reduzido a sua intensidade depois de a Kaspersky e a CrySyS terem denunciado a sua existência.

No entanto, o Miniduke ressurgiu numa nova plataforma, denominada BotGenStudio, e foram detectados novos ataques em 2014, agora com um novo «backdoor» personalizado, capaz de roubar vários tipos de informação, acrescenta.

A Kaspersky salienta que o malware, também conhecido como TinyBaron ou CosmicDuke, simula aplicações populares que são executadas em segundo plano, é capaz de se iniciar através do programador de tarefas do Windows, de gerar um novo processo estabelecido na chave de registo e rouba uma grande variedade de informação, incluindo palavras passe e diversos tipos de ficheiros.

O Miniduke inclui «keyloger», que permite aos cibercriminosos saber que teclas foram digitadas, roubo de palavras passe do Skype, de contactos do Microsoft Outlook, de credenciais de acesso ao navegador Google Chrome e de informações de rede.

O malware utiliza várias tecnologias de roubo da informação, incluindo o envio de ficheiros divididos em fragmentos de pequena dimensão (cerca de 3 Kbytes), que são comprimidos e cifrados e colocados num ou vários «contentores» virtuais, que depois são armazenados num servidor.

A companhia russa sublinha que um dois servidores do Cosmicduke analisados tinha uma lista de 139 IP únicos desde 2012 e os 10 países mais afectados eram a Geórgia, Rússia, Estados Unidos, Reino Unido, Cazaquistão, Índia, Bielorrússia, Chipre, Ucrânia e Lituânia.

A Kaspersky admite que a nova versão do Miniduke esteja a ser utilizada por autoridades policiais (algumas das vítimas estavam aparentemente ligadas a tráfico de drogas e outras substâncias ilícitas, como esteróides), mas põe também a possibilidade de estar disponível no mercado negro, onde seria utilizado para espionagem industrial.

Ainda sem comentários