El grupo CrySyS (Cryptography and System Security) de Hungría ha descubierto que un instalador de Duqu, concretamente un documento word (.doc), explota una vulnerabilidad 0-day en el kernel de Windows.
El siguiente gráfico explica más detalladamente cómo el exploit en el documento word realiza la instalación de Duqu:
Microsoft ya ha sido avisado de la vulnerabilidad y está trabajando en el aviso y parche correspondiente. No obstante, al tratarse de una vulnerabilidad del kernel y al haberse descubierto un único instalador, los investigadores no excluyen que existan otros vectores de infección.
Una vez que consigue infiltrarse en una organización, Duqu puede auto propagarse copiándose a sí mismo en carpetas compartidas en red (SMB shares) e incluso comunicarse con otras máquinas infectadas para usarlas como proxy en la comunicación con el servidor C&C.
Además, quién está detrás de este malware ha puesto offline un servidor C&C en Bélgica con IP 77.241.93.160 que fue recientemente descubierto, al igual que hicieron con otro servidor localizado en la India, lo que demuestra que están monitorizando la situación y actuando en consecuencia.
Por último Symantec ha sido capaz de confirmar infecciones en Francia, Holanda, Suiza, Ucrania, India, Irán, Sudán y Vietnam, mientras que otras empresas de seguridad informan de incidentes en Austria, Hungría, Indonesia y Reino Unido.
Fuente: Symantec: Blog oficial y Whitepaper técnico
El siguiente gráfico explica más detalladamente cómo el exploit en el documento word realiza la instalación de Duqu:
Microsoft ya ha sido avisado de la vulnerabilidad y está trabajando en el aviso y parche correspondiente. No obstante, al tratarse de una vulnerabilidad del kernel y al haberse descubierto un único instalador, los investigadores no excluyen que existan otros vectores de infección.
Una vez que consigue infiltrarse en una organización, Duqu puede auto propagarse copiándose a sí mismo en carpetas compartidas en red (SMB shares) e incluso comunicarse con otras máquinas infectadas para usarlas como proxy en la comunicación con el servidor C&C.
Además, quién está detrás de este malware ha puesto offline un servidor C&C en Bélgica con IP 77.241.93.160 que fue recientemente descubierto, al igual que hicieron con otro servidor localizado en la India, lo que demuestra que están monitorizando la situación y actuando en consecuencia.
Por último Symantec ha sido capaz de confirmar infecciones en Francia, Holanda, Suiza, Ucrania, India, Irán, Sudán y Vietnam, mientras que otras empresas de seguridad informan de incidentes en Austria, Hungría, Indonesia y Reino Unido.
Fuente: Symantec: Blog oficial y Whitepaper técnico
Comentarios
Publicar un comentario