I ricercatori del laboratorio ungherese CrySyS (Laboratory of Cryptography and System Security) e di Symantec hanno scoperto una vulnerabilità zero-day che apre la porta al malware Duqu sui computer con sistema operativo Windows. Il malware si annida in un file infetto di Word.

Ricordiamo che Duqu è un worm scoperto di recente che sembra essere stato progettato per realizzare attacchi mirati contro un numero ridotto di obiettivi, e che può essere modificato a seconda del “compito” che gli viene via via assegnato.

Inizialmente sembrava che la nuova piaga informatica fosse un derivato di Stuxnet, in realtà analisi più recenti da parte degli esperti di sicurezza di SecureWorks hanno portato alla conclusione che sia Duqu sia Stuxnet sono tasselli sofisticati di malware formati da più componenti, ma che non hanno “legami di parentela”.

Duqu sfrutta una vulnerabilità nel kernel di Windows per entrare nei PC tramite un file di Word

All’apertura del file Word (tramite la tecnica del “social engineering”), l’installer integrato nel documento si attiva ed esegue codice shell Windows per installare una DLL e un driver nel sistema, facendo l’hijacking dei servizi di controllo.

In questo modo Duqu apre una porta che consente a un malintenzionato di accedere e prelevare i dati del sistema in via remota e nel frattempo infettare altri sistemi della rete. Sempre stando alle informazioni per ora note, sembra che il worm sia stato scritto per installarsi solo nell’arco di otto giorni, e che finora sia passato indenne a scansioni antivirus, firewall e affini.

Secondo gli esperti di sicurezza ci sono analogie fra Stuxet e Duqu, ma non sono la stessa cosa

In seguito alla segnalazione, i ricercatori Microsoft si sono messi all’opera e si attende a breve un aggiornamento di sicurezza così come comunicato da Redmond in un comunicato ufficiale. Non è chiaro se arriverà entro l’otto novembre, giorno del Patch Day mensile.

Intanto recentemente si è scoperto che Duqu sarebbe in grado di diffondersi attraverso le reti sfruttando le connessioni SMB usate per la condivisione di file fra i computer. Inoltre, quando infetta sistema non collegati direttamente a Internet, usa un protocollo file sharing per collegarsi a computer che hanno accesso al Web e formare così una nuova rete di controllo.

Secondo Symantec Duqu avrebbe già contagiato sei grandi aziende in otto paesi, tra cui Francia, Paesi Bassi, Svizzera, Ucraina, India, Iran, Sudan e Vietnam. I ricercatori di Symantec hanno anche scoperto un server di controllo (ora “spento”) usato da alcune versioni di Duqu per comunicare con gli aggressori: si trova in Belgio e sfrutta l’indirizzo IP 77.241.93.160. In precedenza era stato usato un server in India.