A Miniduke aktív, és élvezi

Április végén a Microsoft bejelentette, hogy egy, a Word-ben lévő biztonsági rést aktívan használják a támadók. A cert.hu közleménye szerint több esetben is látható volt, hogy hol használták ki a sérülékenységet kártevő telepítésére. Ezek közül az egyik különösen érdekes, mert a MiniDuke egy új változatát tartalmazta: Win32/SandyEva.

A MiniDuke néhány jellemzője – mint például a kis méret (húsz kilóbájt), az assembly nyelv cseles használata, és a nulladik napos sérülékenységek kihasználása a terjedésre – tette érdekessé a malware-t. Bár a backdoor hasonló a korábbi verziókéhoz, néhány fontos változást hajtottak végre tavaly óta, a leginkább figyelemre méltó egy JScript-ben írt másodlagos komponens bevezetése a Twitteren keresztüli C&C szerver kapcsolatfelvételre.