Aunque hace unos días el Gobierno iraní anunciaba que los ataques del virus Duqu estaban controlados, su versión de los hechos comienza a tambalearse. Y es que según denuncia Kaspersky Lab, las autoridades del país conocían la existencia de esta amenaza desde abril y no hicieron nada para alertar a la comunidad de seguridad internacional.
Mientras, los investigadores de Kaspersky han conseguido identificar los métodos generales utilizados por los autores del troyano y han trazado un calendario con su actividad basándose en unas muestras proporcionadas por el Computer Emergency Response Team. Estas muestras proceden del país africano de Sudán y fueron utilizadas en al menos tres ataques contra objetivos no identificados.
El patrón de actuación era un correo electrónico que solicitaba colaboración para una “joint venture” y adjuntaba un archivo de Word con el nombre de la empresa como título. Cuando la víctima abría finalmente el documento, que usaba la fuente Dexter Regular, el malware conseguía explotar una vulnerabilidad Día Cero en TrueType para activar el ataque. Para ello, esperaba a que no hubiese actividad de teclado o ratón durante 10 minutos, momento en el que cargaba un driver en el sistema e instalaba módulos adicionales para infectar otros equipos y recolectar información.
Según explican desde Kaspersky, los autores recurrían a un servidor de control diferente para cada víctima y “estuvieron trabajando en este proyecto durante más de cuatro años”.
El Laboratorio de Criptografía y Seguridad de Sistema (CrySyS) de la Universidad de Tecnología de Budapest ya ha lanzado un conjunto de herramientas gratuitas capaces de buscar archivos sospechosos y detectar Duqu en base a todos estos parámetros.
No hay comentarios:
Publicar un comentario