• OnionDuke: Ataques APT Através de Tor Nodes

    No mês passado, a equipe da TechWorm falou sobre um "nó de saída" na rede Tor que estava fazendo um "wrapping" em arquivos executáveis do Windows com malware antes de retransmitir a informação de volta para o usuário. Esta ocorrência foi descoberta pelo Grupo de Segurança Leviathan, que observou que o uso de arquivos legítimos foi a razão destes malwares não terem sido detectados durante todo esse tempo. Depois de analisar os arquivos oferecidos por este nó de saída, pesquisadores da F-Secure determinaram que todos eles continham a mesma amostra de malware, que a empresa de segurança chamou de "OnionDuke."



    Link para MiniDuke

    Segundo os pesquisadores, a ameaça está em circulação pelo menos desde outubro de 2013. Além da rede Tor, o malware também foi distribuído através de softwares pirateados hospedados em vários sites de torrent. No entanto, a F-Secure acredita que a família OnionDuke é muito mais antiga e ligada ao MiniDuke, já que eles têm encontrado evidências que sugerem que as amostras analisadas são, na verdade, a quarta versão do malware. Os pesquisadores ainda não identificaram nenhuma das versões anteriores, mas os binários mais antigos do OnionDuke foram analisados entre 05 e 15 de julho de 2013.

    A cepa "MiniDuke", previamente infectou agências governamentais e organizações em 23 países com malware altamente avançado e que utiliza código de baixo nível para ficar escondido. MiniDuke tinha um comportamento intrigante, porque trazia a marca do primeiro vírus encontrado em meados dos anos 1990, quando grupos como o 29A, lidava com engenharia de amostras inovadoras de malware para se divertir e depois documentá-los em um E-zine que levava o mesmo nome. Escrito em linguagem assembly, a maioria dos arquivos do MiniDuke foi minimalista.

    Ele faz uso de vários níveis de criptografia e truques inteligentes de codificação, o que torna o malware difícil de detectar e dificulta processos de engenharia reversa. Além disso, o código também continha referências à Divina Comédia de Dante Alighieri.


    Saiba Mais:

    [1] TechWorm http://www.techworm.net/2014/11/onionduke-apt.htm

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L