Link para MiniDuke
Segundo os pesquisadores, a ameaça está em circulação pelo menos desde outubro de 2013. Além da rede Tor, o malware também foi distribuído através de softwares pirateados hospedados em vários sites de torrent. No entanto, a F-Secure acredita que a família OnionDuke é muito mais antiga e ligada ao MiniDuke, já que eles têm encontrado evidências que sugerem que as amostras analisadas são, na verdade, a quarta versão do malware. Os pesquisadores ainda não identificaram nenhuma das versões anteriores, mas os binários mais antigos do OnionDuke foram analisados entre 05 e 15 de julho de 2013.
A cepa "MiniDuke", previamente infectou agências governamentais e organizações em 23 países com malware altamente avançado e que utiliza código de baixo nível para ficar escondido. MiniDuke tinha um comportamento intrigante, porque trazia a marca do primeiro vírus encontrado em meados dos anos 1990, quando grupos como o 29A, lidava com engenharia de amostras inovadoras de malware para se divertir e depois documentá-los em um E-zine que levava o mesmo nome. Escrito em linguagem assembly, a maioria dos arquivos do MiniDuke foi minimalista.
Ele faz uso de vários níveis de criptografia e truques inteligentes de codificação, o que torna o malware difícil de detectar e dificulta processos de engenharia reversa. Além disso, o código também continha referências à Divina Comédia de Dante Alighieri.
Saiba Mais:
[1] TechWorm http://www.techworm.net/2014/11/onionduke-apt.htm