Os criadores de Duqu podem não ter usado o método tradicional para escrever o seu código, mas fizeram algo que programadores de malware têm costume de fazer: lançaram uma nova variante do seu código com poucos ajustes – apenas para evitar que sejam encontrados.
Um dia após pesquisadores da Kaspersky Lab revelarem que, com a ajuda da comunidade de segurança, conseguiram descobrir o mistério da linguagem de programação por trás do Duqu, pesquisadores da Symantec anunciaram que encontraram uma variante da ameaça – a primeira encontrada desde outubro.
Vikram Thakur, gerente principal da Symantec Security Response, afirmou que os criadores do Duqu basicamente mudaram alguns bytes para permitir que o malware desviasse de ferramentas de detecção, incluindo uma de código aberto criada pelo Laboratorio de Cripitografia e Sistema de Segurança (Laboratory of Cryptography and System Security, o CrySyS Labs). “Esse é o segundo round da mesma coisa: o código antigo, só que um pouco mexido”, afirmou Thakur.
Os atacantes mudaram o algoritmo de criptografia e, em vez de empregar um certificado digital roubado como fizeram antes, usaram um certificado Microsoft falso para fazer com que o software parecesse legítimo. A amostra descoberta pela Symantec saiu do Irã, diz Thakur, e é apenas uma parte do pacote de ameaças: especificamente o “carregador”, que instala o resto do malware quando reinicia a máquina da vítima. A data de compilação do ataque foi de 23 de fevereiro de 2012.
“Nós encontramos apenas um componente. Não temos o arquivo principal que chegou ao computador ou o arquivo de configuração onde o servidor de comando e controle está”, explicou.
Mesmo assim, era uma evidência suficiente para mostrar que a quadrilha do Duqu não desistiu, apesar de toda a publicidade e investigação que se centrou sobre o assunto. “Esses caras têm uma missão, qualquer que seja, e não se preocupam com o que a comunidade de segurança ou mídia pode descobrir sobre a ameaça”, disse. “Eles estão extremamente confiantes de que não serão descobertos. Então, continuam com os ataques.”
Roel Schouwenberg, pesquisador senior de antivirus para a Kaspersky Lab, afirmou que a última jogada dos criadores Duqu é observar o cenário atual e mudar o código da ameaça, se for necessário. “Isso mostra que suas operações ainda continuam”, explicou. “Também significa que até o próximo ataque eles não viram a necessidade de realmente lançar novas variantes para evitar a detecção.”
Eles obviamente planejam usar seu framework já existente apesar de a comunidade de segurança já ter descoberto pistas sobre ele. Os especialistas apontam que os criadores da ameaça ainda apostam nesse código.
Detalhes técnicos sobre essa variante estão disponíveis no site da Symantec.
Saiba mais:
Duqu foi escrito por desenvolvedores experientes, diz Kaspersky
Vírus Stuxnet e Duqu foram criados em 2007, diz pesquisa
Nova ameaça utiliza Stuxnet como base
Microsoft detalha medida paliativa para o Duqu, sucessor do Stuxnet
Cinco dicas para se defender contra o Duqu
Ciberarmas são futuro das ameaças
A computação quântica ainda não tem aplicação comercial em escala. A Hewlett Packard Enterprise (HPE)…
A China voltou a defender a criação de mecanismos internacionais de governança para inteligência artificial…
A SpaceX alcançou um marco importante e histórico poucos dias após sua estreia na bolsa…
A inteligência artificial já entrou no radar estratégico das empresas brasileiras, mas sua adoção ainda…
Na visão de Domingos Bruno, especialista do IT Forum Inteligência, o CIO do futuro não…
O presidente Luiz Inácio Lula da Silva apresentou a posição brasileira sobre governança digital e inteligência…