Investigadores de seguridad de varias compañías han localizado la primera instalación de Duqu, la última gran amenaza de Internet, que explota una vulnerabilidad de día cero en la plataforma Windows para poder infectar computadores.
Los investigadores de seguridad del laboratorio CrySyS en Hungría han localizado un instalador de Duqu, la amenaza de inspiración en Stuxnet que ha mantiene alerta a la industria de seguridad durante el último par de semanas. Además, esta empresa asegura que Duqu se aprovecha de una vulnerabilidad previamente desconocida en el kernel de Windows.
El Laboratorio de Criptografía y Seguridad de Sistema (CrySyS) de la Universidad de Budapest también ha identificado otros componentes de Duqu, como el driver malicioso y DLL que se encuentra en los sistemas infectados.
“Nuestro laboratorio […] analizó el malware Duqu y como resultado de nuestra investigación, hemos identificado un archivo con un gotero que explota una vulnerabilidad de día cero en Windows”, anuncian los investigadores de CrySyS.
“Inmediatamente hemos proporcionado a los organismos competentes la información necesaria, para que puedan tomar las medidas adecuadas para la protección de los usuarios”, añadieron.
De acuerdo con Symantec, cuyos expertos analizaron las muestras facilitadas por CrySyS, Duqu infecta los ordenadores a través de un documento de Microsoft Word (.Doc) que aprovecha una vulnerabilidad de día cero de Windows cuando se abre.
El documento maligno es más probable que llegue a organizaciones específicas como parte de un ataque de ingeniería social en contra de sus empleados. “El documento de Word se han elaborado de tal manera que se dirige contra empresas determinadas”, señalaron los investigadores de Symantec.
Microsoft ha alertado sobre la vulnerabilidad y está trabajando en una solución. Mientras tanto, los usuarios deben seguir las mejores prácticas y no abrir documentos de fuentes desconocidas.
Dado que se trata de una vulnerabilidad del núcleo y sólo se ha descubierto un único instalador hasta el momento, los investigadores no excluyen otras vías de infección, además del mencionado .Doc.
Los investigadores de Symantec también han hecho otros descubrimientos interesantes relacionados con la amenaza. Estos incluyen el hecho de que Duqu es capaz de infectar los ordenadores que no están conectados a Internet, copiándose en las carpetas compartidas en la red, gracias a que el malware tiene un mecanismo de reserva que se activa cuando no se puede detectar una conexión a Internet.