Nova variante do Duqu é encontrada no Irã

Author Photo
11:08 am - 23 de março de 2012

Os criadores de Duqu podem não ter usado o método tradicional para escrever o seu código, mas fizeram algo que programadores de malware têm costume de fazer: lançaram uma nova variante do seu código com poucos ajustes – apenas para evitar que sejam encontrados.

Um dia após pesquisadores da Kaspersky Lab revelarem que, com a ajuda da comunidade de segurança, conseguiram descobrir o mistério da linguagem de programação por trás do Duqu, pesquisadores da Symantec anunciaram que encontraram uma variante da ameaça – a primeira encontrada desde outubro.

Vikram Thakur, gerente principal da Symantec Security Response, afirmou que os criadores do Duqu basicamente mudaram alguns bytes para permitir que o malware desviasse de ferramentas de detecção, incluindo uma de código aberto criada pelo Laboratorio de Cripitografia e Sistema de Segurança (Laboratory of Cryptography and System Security, o CrySyS Labs). “Esse é o segundo round da mesma coisa: o código antigo, só que um pouco mexido”, afirmou Thakur.

Os atacantes mudaram o algoritmo de criptografia e, em vez de empregar um certificado digital roubado como fizeram antes, usaram um certificado Microsoft falso para fazer com que o software parecesse legítimo. A amostra descoberta pela Symantec saiu do Irã, diz Thakur, e é apenas uma parte do pacote de ameaças: especificamente o “carregador”, que instala o resto do malware quando reinicia a máquina da vítima. A data de compilação do ataque foi de 23 de fevereiro de 2012.

“Nós encontramos apenas um componente. Não temos o arquivo principal que chegou ao computador ou o arquivo de configuração onde o servidor de comando e controle está”, explicou.

Mesmo assim, era uma evidência suficiente para mostrar que a quadrilha do Duqu não desistiu, apesar de toda a publicidade e investigação que se centrou sobre o assunto. “Esses caras têm uma missão, qualquer que seja, e não se preocupam com o que a comunidade de segurança ou mídia pode descobrir sobre a ameaça”, disse. “Eles estão extremamente confiantes de que não serão descobertos. Então, continuam com os ataques.”

Roel Schouwenberg, pesquisador senior de antivirus para a Kaspersky Lab, afirmou que a última jogada dos criadores Duqu é observar o cenário atual e mudar o código da ameaça, se for necessário. “Isso mostra que suas operações ainda continuam”, explicou. “Também significa que até o próximo ataque eles não viram a necessidade de realmente lançar novas variantes para evitar a detecção.”

Eles obviamente planejam usar seu framework já existente apesar de a comunidade de segurança já ter descoberto pistas sobre ele. Os especialistas apontam que os criadores da ameaça ainda apostam nesse código.

Detalhes técnicos sobre essa variante estão disponíveis no site da Symantec.

Saiba mais:

Duqu foi escrito por desenvolvedores experientes, diz Kaspersky

Vírus Stuxnet e Duqu foram criados em 2007, diz pesquisa

Nova ameaça utiliza Stuxnet como base

Microsoft detalha medida paliativa para o Duqu, sucessor do Stuxnet

Cinco dicas para se defender contra o Duqu

Ciberarmas são futuro das ameaças

 

 

 

Notícias relacionadas

Notícias
Sberbank oferece IA soberana a países do Sul Global
Notícias
Palo Alto registra alta na procura por segurança em IA
Notícias
iFood confirma vazamento de dados de 1,2 milhão de usuários
Notícias
Sam Altman é convidado a participar do G7 na França
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.