Todo parece indicar que el troyano se aprovecha de una vulnerabilidad que poseen determinadas versiones de Adobe Reader para instalarse en los equipos. El virus posee una gran ingeniería social y en función de la ubicación del usuario, MiniDuke, que así es como ha sido denominado el troyano, descarga en el ordenador del usuario variantes de programas maliciosos que se ajusten a la ubicación de este.
El troyano empieza infectando el PC con un fichero PDF que en realidad se trata de un archivo malicioso que explota una vulnerabilidad que fue detectada en diciembre en el programa de Adobe. A pesar de que el problema de seguridad fue solucionado, muchos han sido los usuarios que aún no han actualizado o instalado la actualización que soluciona dicho problema. Para que el usuario acepte abrir el PDF, las páginas web o correos donde el archivo es enviado, se hace creer al usuario que contiene información sobre un estudio realizado por la OTAN sobre los Derechos Humanos.
Troyano en código ensamblador
El PDF contiene un pequeño troyano de 22KB que está programado en lenguaje ensamblador y que a día de hoy es indetectable para los antivirus y las definiciones de virus que estos poseen en la actualidad. Sin embargo, para no cometer el error y abrir el PDF, se ha podido saber que todos los ficheros que están infectados poseen la cadena de caracteres @34fZ7E*p en el nombre del archivo.
Sin embargo, aunque el troyano parezca una cosa muy sencilla, las apariencias engañan.
Ingeniería social, repositorio y utilización de la conexión a internet
Tal y como han descubierto algunos investigadores de Kaspersky, el troyano es capaz de comunicarse con cuentas de Twitter propiedades de los ciberdelincuentes que han puesto en funcionamiento el virus. Estas cuentas poseen más enlaces hacia contenidos maliciosos. El propio virus, una vez que el usuario comienza a utilizar estos servicios, es capaz de llevar a cabo la descarga de este contenido, haciendo «llamadas» a las direcciones URL detalladas en las cuentas de Twitter sin que el usuario lo sepa.
En el caso de que las cuentas de Twitter sean localizadas y cerradas (algunas ya lo han sido) el troyano posee un soporte alternativo en una página web. Una de las herramientas que el troyano descarga en el ordenador es una que se encarga de geolocalizar la dirección IP. La utilidad de esta es la de concretar la ubicación del equipo y así poder personalizar mejor los idiomas y los programas que se descargan.
¿Cuál es su forma de propagación?
Ya hemos dicho que utiliza la red social Twitter ayudándose del navegador, por lo que,MiniDuke es capaz de capturar información de contactos que los usuarios poseen en servicios de internet y utilizar los diálogos para publicar mensajes (por ejemplo Facebook, Twitter o Gmail) para publicar enlaces que llevan a los PDF que están infectados con el virus.
¿A qué tipo de equipos está afectando?
Aunque esta afectando tanto a usuarios particulares como a instituciones, el principal objetivo de este troyano son las segundas y las grandes compañías, ya que debido a los métodos para extenderse es donde mayor daño puede provocar, sobre todo si tenemos en cuenta que en muchos de estos sitios existen empleados que consultan su correo, las redes sociales y utilizan unidades USB para compartir archivos.
Os recomendamos visitar el tutorial qué es Abandonware y cómo afecta a la seguridad.