Finora il worm sarebbe stato utilizzato solo per condurre attacchi mirati nei confronti di singole realtà aziendali. Microsoft già al lavoro sullo sviluppo di una patch risolutiva.
Nei giorni scorsi si era diffusa la notizia della scoperta di “Duqu“, un nuovo worm concepito con lo scopo di attaccare i sistemi industriali che presenta molte affinità con il precedente “Stuxnet“, anche se secondo indagini più reenti e approfondite non esisterebbe, di fatto, la prova che dimostra che i due malware siano opera degli stessi autori, anche se entrambe le minacce sono state create dal medesimo codice sorgente.
Microsoft, da parte sua, ha appena confermato l’analisi tecnica elaborata da CrySyS, il laboratorio di crittografia e sicurezza informatica dell’Università di Budapest: secondo la scoperta degli studiosi ungheresi “Duqu” si diffonderebbe sfruttando una vulnerabilità “zero day“, quindi ancora irrisolta, presente nel kernel di Windows.
I ricercatori di CrySyS hanno evidenziato il comportamento del worm “Duqu” ponendone sotto la lente il dropper ossia il componente creato per installare il malware sul sistema dell’utente. Attualmente “Duqu” si diffonde presentandosi sotto forma di un normale documento in formato Word: in realtà tale elemento viene sfruttato come testa di ponte per “iniettare” il codice nocivo sulla macchina della vittima facendo leva, appunto, su una vulnerabilità del kernel del sistema operativo.
Microsoft sarebbe già al lavoro sullo sviluppo di una patch risolutiva.
Fino ad oggi, “Duqu” sarebbe stato utilizzato solo per condurre attacchi mirati nei confronti di singole realtà aziendali. Le aggressioni, stando a quanto riferito da Symantec, si sarebbero per ora concentrate nel corso del mese di agosto ed avrebbero interessato i sistemi informatici di sei aziende in Francia, Olanda, Svizzera, Ucraina, India, Iran, Sudan e Vietnam. Successivamente, campioni del malware sono stati individuati presso aziende con sede nel Regno Unito, in Austria ed in Indonesia.
