Обнаружен вирус, загрузчик которого написан на Ассемблере, который работал против правительственных учреждений. Украина – одна самых из наиболее пострадавших стран.
Выявлена масштабная кибертака с применением сочетания сложных вредоносных кодов на устаревших языках программирования и новых технологий использования уязвимостей в Adobe Reader. Созданный специально для этих атак бэкдор MiniDuke написан на Ассемблере и чрезвычайно мал – всего 20 Кб, Целью атаки стало получение информации геополитического характера. Об этом говорится в отчёте «Лаборатории Касперского».
Вредоносная программа MiniDuke распространялась при помощи недавно обнаруженного эксплойта для Adobe Reader (CVE-2013-6040). Среди жертв трояна оказались госучреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии. Кроме того, от действий киберпреступников пострадали ряд исследовательских учреждений в разных странах.
В ходе исследования специалисты пришли к следующим выводам:
- Авторы MiniDuke до сих пор продолжают свою активность, последний раз они модифицировали вредоносную программу 20 февраля 2013 года. Для проникновения в системы жертв киберпреступники рассылали вредоносные PDF-документы.
Пример страницы инфицированного PDF-документа
- При заражении системы на диск жертвы попадал небольшой загрузчик, размером всего 20 Кб. Он уникален для каждой системы и содержит бэкдор, написанный на Ассемблере.
- Если атакуемая система соответствует заданным требованиям, вредоносная программа будет использовать Twitter для поиска специальных твитов от заранее созданных акаунтов
Специальный твит, который ищет MiniDuke
- Как только заражённая система устанавливает соединение с сервером управления, она начинает получать зашифрованные бэкдоры через GIF-файлы, которые маскируются под картинки на компьютере жертвы.
- Бэкдор выходит на связь с двумя серверами – в Панаме и Турции – для того чтобы получить инструкции от киберпреступников.