Het is simpelweg gezegd niet de week van Adobe. Een nieuw virus genaamd MiniDuke heeft namelijk verschillende overheidsinstanties aangevallen in Europa en de Verenigde Staten. Het virus maakt gebruik van een beveiligings exploit in de Adobe Reader applicatie. Het virus wordt verspreidt als een geloofwaardig PDF bestand. In de PDF is informatie te lezen over een seminar over mensen rechten (ASEM) en de plannen voor een NATO lidmaatschap. Maar hoewel de informatie legitiem lijkt te zijn, upload het bestand malware naar de computer die zich niet laat detecteren door anti-malware, anti-virus en andere beveiligings applicaties.
Het MiniDuke virus heeft al meerde overheidsinstanties in Ukraine, België Portugal, Roemenië Tsjechië, Ierland, Hongarije en de Verenigde Staten geïnfecteerd. MiniDuke maakt gebruik van exploits die gevonden zijn in Adobe Reader 9, 10 en 11. De code voor de backdoor (het script dat de malware upload) is geschreven door de “Assembler”. Het laadt een downloader op je systeem dat slechts 20kb groot is. Tijdens het opstarten van je systeem gebruikt het de unieke vingerafdruk van je computer om zichzelf te coderen en daardoor ook te beschermen tegen anti-virus programma’s.
Daarna creëert MiniDuke een Twitter account door gebruik van het Command en Control (C2) systeem en maakt het tweets aan met gecodeerde URL’s in de hastags die leiden naar de backdoors. Doormiddeln van deze backdoors krijgt MiniDuke C2 toegang tot de gehele computer. Het plaatst hiermee kwaadaardige betanden op je computer, die vermomd zijn als GIF afbeeldingen. Dit zorgt ervoor dat de backdoor nog meer open wordt gezet en MiniDuke zelfs bestanden kan kopieren, verwijderen, folders aanmaken, processen kan stopen en zelfs meer malware op de computer kan laden.
De backdoors zijn al getraceerd naar twee servers in Panama en Turkije. De laatste aanval van MiniDuke gebeurde op 20 februari. Adobe bracht eerder al een patch uit, maar het ziet er naar uit dat MiniDuke alweer een omweg heeft weten te vinden.