Uma nova epidemia de spyware afetou entidades governamentais e não-governamentais em 23 países, inclusive no Brasil. E desta vez, não são links falsos no Twitter nem pornografia que enganam as pessoas – são PDFs que parecem documentos oficiais.

O exploit, chamado miniDuke, foi descoberto em um esforço conjunto de pesquisadores de segurança da Kaspersky Lab e Laboratório CySys.

O malware invade sistemas usando uma vulnerabilidade recém-descoberta no Adobe Reader e Adobe Acrobat. Os hackers enviam PDFs infectados a seus alvos, disfarçados como “conteúdo altamente relevante e bem-feito” sobre planos da Ucrânia aderir à OTAN. Veja como isso parece bem oficial:

nato-miniduke

Depois que o sistema é comprometido, o PDF instala um programa de 20KB feito em Assembly, linguagem de programação que envia comandos direto ao processador. Este programa contém um backdoor para receber comandos de contas pré-determinadas do Twitter. E se o Twitter estiver bloqueado na rede, o malware encontra os comandos através de buscas no Google.

O programa estabelece backdoors progressivamente maiores, até conseguir copiar e mover arquivos para servidores remotos, além de executar outros comandos, como instalar mais malware. Os arquivos baixados pelo malware parecem inofensivos: todos têm a extensão GIF e trazem uma imagem válida – mas escondem código malicioso.

O miniDuke infectou sistemas de governos e ONGs em 23 países, incluindo Brasil, Japão e EUA. No entanto, o nome das organizações afetadas não foi revelado.

Se alguém fica baixando arquivos estranhos de pornografia ou clicando em links falsos, o malware é culpa da pessoa. Mas imagine alguém apenas fazendo o seu trabalho e sendo infectado por algum documento enfadonho – aí é mais difícil culpá-lo. A engenharia social está ganhando, e isso é um problema. [Securelist via G1]

Imagem por Tischenko Irina/Shutterstock