A Stuxnet, para quem não lembra, é uma mistura de botnet com worm que infectou milhares de computadores ao redor do mundo desde o ano passado e culminou com a infecção de certos equipamentos especificamente criados para controlar processos industriais no Irã. Essa semana empresas de segurança perceberam que ela foi colocada na ativa novamente por meio de uma backdoor, chamada de DuQu, e que e está angariando dados de maneira bem peculiar.
Quando você finalmente parar de rir do nome dado à essa nova ameaça à segurança de computadores, vai se dar conta de que trata-se de um assunto bem sério. A DuQu é uma nova backdoor criada pelos mesmos autores da Stuxnet, pois só quem tem acesso ao código-fonte do worm original poderia criar o novo worm. Mas ao contrário da Stuxnet, que tinha como alvo os equipamentos de controle de processos industriais, a DuQu faz apenas a captura de dados e as envia para um servidor.
Segundo os especialistas da F-Secure, a maneira como o worm faz isso é bastante curiosa. Como os criadores queriam passar despercebidos, resolveram disfarçar a troca de informações entre computadores infectados com o DuQu e os servidores. Por isso o DuQu envia os dados coletados escondidos no final de uma imagem com nome dsc00001.jpg e por meio de tráfego HTTP, que é bem comum na web. A imagem usada é essa que você vê ao lado e trata-se de uma foto da NASA que mostra a colisão de duas galáxias.
A pessoa ou organização por trás da DuQu por enquanto só estão mesmo coletando informações, que podem ser usadas num futuro ataque. Até esse ataque acontece, no entanto, o máximo que podemos fazer é esperar. E rir um pouco mais do nome DuQu, que aliás
Via: Tecnoblog
DuQu, worm derivado da Stuxnet, envia dados roubados usando imagens
13:21
Posted in: 
