…através do Adobe Reader
Os computadores do Governo Português foram alvo de intrusão. O alerta foi dado pela Kaspersky Lab que, em conjunto com o laboratório húngaro de Criptografia e Sistemas de Segurança (CrySyS), detectaram intrusões em computadores de entidades governamentais de vários países, entre os quais se destacam Portugal, Ucrânia, Bélgica, Irlanda, Roménia e República Checa. O ataque foi feito recorrendo à vulnerabilidade do Adobe Reader.
Segundo informações, os atacantes exploraram a vulnerabilidade (que publicamos aqui) no software Adobe Reader. Como referido, a investigação foi levada a cabo pela Kaspersky Lab e pelo grupo CrySyS, pertencente à Universidade de Budapeste, na Hungria, que também publicou informações sobre este assunto – ver aqui.
A estratégia do ataque consistiu em enviar documentos falsos, em formato PDF, que incluíam o software malicioso MiniDuke. Os documentos, alguns deles pertencentes à NATO e daí serem “aparentemente” fidedignos, faziam na prática parte do ataque. Depois de abrir os documento,estes davam ordem de execução do malware que por sua vez possibilitava o controlo do computador, remotamente entre outras acções.
Além do acesso remoto, o malware recorria a contas do Twitter, criadas para dar suporte a todo o ataque. No exemplo seguinte, podemos ver um URL, onde os comandos estão cifrados. Na prática, o código apresentado no tweet permitia transferir malware para o sistema, via ficheiros de imagem .gif.
Se por algum motivo o recurso ao Twitter não fosse possível ou as contas já estivessem desactivas, o malware recorria ao Google Search para obter os próximos passos para acções de C2 (Command and Control).
A Adobe disponibilizou uma atualização de segurança que tinha como objectivo a correção da vulnerabilidade, mas a Kaspersky Lab garante que os responsáveis pelo miniDuke ainda estavam em acção, tendo em conta que na passada Quarta-feira, dia 20 de Fevereiro, havia registo de actividade do malware.
