Malware Duqu: novità da Symantec

Nelle ultime ore Symantec ha diffuso importanti dettagli relativi a Duqu, una delle più recenti minacce malware che presenta alcune analogie con Stuxnet utilizzato per interferire con importanti strutture critiche. Stando a quanto rilevato da Symantec e CrySys ci troviamo in un campo ben differente da quello del classico malware: Duqu come Stuxnet avrebbe come preciso target organizzazioni internazionali e non singoli utenti.

Pare ormai chiaro che Duqu abbia sfruttato una vulnerabilità del kernel di Windows per installarsi e come vettore è stato utilizzato un file .doc appositamente creato. Per la distribuzione del file potrebbero essere state utilizzate tecniche di ingegneria sociale e la propagazione è avvenuta in una precisa finestra temporale di 8 giorni individuata nel mese di agosto. Al momento vari software di sicurezza sono in grado di rilevare Duqu ma Symantec invita alla cautela sottolineando che il metodo di diffusione individuato potrebbe essere solo uno di quelli messi a punto dai creatori del malware.

CrySyS ha anche individuato il modo con il quale Duqu è in grado di comunicare con l'organizzazione che lo ha creato utilizzando tale canale per ricevere aggiornamenti, comandi e avviare eventuali payload. Duqu non si connette a un server remoto in modo diretto ma sfrutta tecnologie P2P per connettersi a un sistema che fa da bridge; stando alla nota diffusa da Symantec questa soluzione permetterebbe una più difficile individuazione delle macchine utilizzate per gestire eventuali attacchi.

Al momento Symante ha individuato almeno 6 organizzazioni nelle cui reti è presente Duqu. Microsoft è stata informata in merito al problema e alla falla zero day utilizzata da Duqu ma non è ancora noto se nel prossimo patch day verrà distribuito un aggiornamento in grado di risolvere anche questo problema. Ulteriori dettagli sono disponibili qui.