Investigadores de Kaspersky Lab y el Laboratorio CrySyS continúan analizando al troyano de puerta trasera (Back door) MiniDuke y han descubierto dos mecanismos desconocidos de infección.

Recientemente fue descubierto que MiniDuke ha sido utilizado para atacar a varias entidades gubernamentales e instituciones alrededor del mundo. Algunas de las características que han permitido que esto suceda es que MiniDuke es altamente personalizable y de tamaño considerablemente pequeño. Se identificó que MiniDuke infectó a sus víctimas mediante documentos maliciosos PDF que contienen exploits que a su vez atacan a las versiones 9, 10 y 11 de Adobe Reader sin interactuar con el sandbox de Adobe.

Pero, como era de esperarse, este no es el único método de propagación de MiniDuke. Mientras analizaban uno de los servidores de comando y control (C&C) de MiniDuke, los investigadores descubrieron archivos HTML que, al parecer, estaban preparados para infectar a sus visitantes utilizando vulnerabilidades basadas en la web.

Uno de los archivos HTML consistía en dos marcos, el primero se dedicaba a cargar una página web de señuelo y el otro se dedicaba a realizar actividades maliciosas. Según los investigadores, este último incluye en su mayoría código JavaScript y actualmente funciona como un paquete primitivo del exploit que se encuentra alojado en otras páginas web.

El exploit funciona tanto como para la vulnerabilidad de Java conocida como CVE-2013-0422 o para la falla CVE-2012-4792 de Internet Explorer 8. Los dos exploits son muy similares a un exploit publicado en el kit Metasploit, ambos entregan el módulo principal de la puerta trasera MiniDuke y ambos obtienen instrucciones desde la misma cuenta de Twitter.