Registran nueva actividad del malware Duqu cinco meses después

Symantec asegura que se ha identificado nueva actividad del malware Duqu. “Estos tipos siguen funcionando”, han asegurado los expertos responsables de detectar el regreso de Duqu, al tiempo que han recordado su peligrosidad.

Así lo creen los expertos que aseguran que sus creadores han recopilado uno de los componentes del troyano el pasado mes de febrero y que pudo ser instalado por un agente “portador” para desencriptar el resto de paquetes de malware ya descargados y entonces encajar sus piezas en la memoria del ordenador.

Symantec ha capturado uno de estos agentes que fue compilado el pasado mes de febrero, cuando este gancho de Duqu no actuaba desde octubre de 2011. La compañía fue la primera en analizar en detalle este troyano, junto a otros, como posibles precursores del próximo Stuxnet, uno de los gusanos más sofisticados  encontrados nunca, que sirvió para sabotear el programa de enriquecimiento de combustible nuclear de Irán, paralizando las centrifugadoras de gas principales.

El funcionamiento de Duqu es más o menos el mismo que el de versiones anteriores y no ha variado de forma apreciable.

Lo que se desconoce es el motivo por el que pueda querer volver a actuar y, también es sospechoso, que se haya tomado este periodo de descanso.  Algunos creen que seguramente haya sido modificado para salvar las últimas medidas de seguridad y, en especial, la herramienta de detección creada en su día por el Laboratorio de Criptografía y Sistemas de Seguridad (CrySys).

El nuevo ejemplar de malware ha sido encontrado en Irán, donde han tenido lugar la mayor parte de los ataques conocidos. En concreto, el 52 por ciento de las víctimas de las 21 infecciones de Duqu anteriores eran iraníes.

Este bajo índice de ataques es uno de los principales hándicaps que deben superar los expertos en seguridad para unir las piezas del puzle. Por este motivo también se sospecha que los hackers, en este caso, hayan realizado muy pocos ataques y muy espaciados, lo que también justificaría su largo periodo de inactividad aparente.

Como destacan los expertos, los ataques muy concretos contra pocos objetivos son muy difíciles de detectar y analizar, y Duqu parece haber querido llevar esta estrategia al límite. De hecho, hasta que no se vuelvan a detectar nuevos ataques será difícil establecer alguna conclusión sobre los motivos y consecuencias de los ataques de este grupo.

Lo que parece claro es que este foco de peligro sigue activo, que se está rearmando con nuevos componentes y que puede estar preparando un nuevo ataque selectivo contra alguna víctima. Incluso, podría tener ya un “día cero”.

 

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper