Бэкдор MiniDuke – управление атакой через Twitter

По сообщению компании ESET, ее вирусные эксперты обнаружили новую модификацию вредоносного ПО MiniDuke. Это ПО представляет собой бэкдор – программу, открывающую хакерам полный доступ к компьютеру жертвы. Новая версия использует для этого эксплойт к уязвимости CVE-2014-1761, которой были подвержены все версии Microsoft Word 2003–2013 до выхода соответствующего обновления.

Бэкдор содержит вспомогательный модуль для работы с удаленным сервером через Twitter. Для управления MiniDuke используется twitter-аккаунт @FloydLSchwartz, бэкдор обращается к нему втайне от пользователя и ищет твиты, содержащие тэг «Х)))» (в предыдущей модификации программы – «uri!»). Обнаружив твит с нужным тэгом, MiniDuke переходит по указанной в посте ссылке и передает данные о жертве на удаленный сервер. Авторы бэкдора получают имя компьютера и домена, код страны IP-адреса, информацию о версии ОС, список установленных антивирусных продуктов, конфигурацию прокси и другие сведения.

Кроме того, бэкдор способен загружать из Сети и запускать на зараженном компьютере новые вредоносные программы.

MiniDuke детектируется антивирусными решениями ESET NOD32 как Win32/SandyEva.G, вредоносный RTF-документ, через который распространяется эксплойт, – как Win32/Exploit.CVE-2014-1761.D.