Mediante agujero desconocido en el kernel de Windows

Duqu causó gran interés entre las empresas de seguridad informática por tratarse de una amenaza vinculada directamente al temido gusano Stuxnet, diseñado el gobierno israelí para el sabotaje de sistemas industriales.

El troyano para Windows, Duqu, extrae información de los sistemas infectados, supuestamente para preparar ataques contra terceros. Aunque Duqu funciona de manera distinta al gusano Stuxnet, parte de su código fuente sería idéntica al de Stuxnet, lo que sugeriría la misma autoría.

Hasta ahora se había desconocido la forma en que el troyano logró infectar un número limitado de empresas, que incluye a fabricantes de sistemas industriales de control.

Agujero desconocido en Windows
Los mismos investigadores de la Universidad Técnica de Budapest, que inicialmente detectaron a Duqu, han revelado ahora la forma en que el troyano fue instalado subrepticiamente en los sistemas intervenidos.

El grupo de académicos, denominado CrySys, ha revelado el primer ejemplo concreto, señalando que el código fue oculto en un documento de Word, que aprovecha una vulnerabilidad hasta ahora desconocida en el kernel de Windows, según informa Symantec en un post de su blog oficial, publicado el 1 de noviembre.

Lo anterior implica que el ataque es iniciado enviando un archivo Word infectado a la potencial víctima. Cuando el documento es abierto se instalan los archivos binarios del troyano en el PC.

Symantec ha publicado la siguiente representación gráfica de la instalación del troyano:

Anuncios