DEFINICIÓN DEL VIRUS
¿Qué es?
CosmicDuke, descubierto en 2014, utiliza los implantes Miniduke tradicionales de 2013 que siguen circulando por Internet y se usan en campañas activas de ataques dirigidos a gobiernos y otras entidades. Después de la exposición de 2013, el criminal que desarrolló Miniduke comenzó a utilizar otra puerta trasera personalizada. La "nueva" puerta trasera principal de Miniduke (llamada TinyBaron o CosmicDuke) es capaz de robar diversos tipos de información.
Aunque el criminal detrás de Miniduke detuvo su campaña o, al menos redujo su intensidad, a comienzos de 2014, reanudó sus ataques. En esta ocasión, observamos cambios en la manera de actuar y las herramientas usadas por los atacantes.
Detalles
La "nueva" puerta trasera principal de Miniduke (denominada TinyBaron o CosmicDuke) se compiló usando un entorno personalizable llamado BotGenStudio, que es lo suficientemente flexible para habilitar o deshabilitar componentes cuando se construye el bot.
Los componentes se pueden dividir en tres grupos:
- Persistencia: Miniduke/CosmicDuke es capaz de iniciarse a través del Programador de tareas de Windows
- Reconocimiento: el malware es capaz de robar gran variedad de información, incluso archivos basados en extensiones y palabras clave de nombres de archivo, como *.exe, *.ndb, *.mp3, *.avi, *.rar, *.docx, *.url, *.xlsx, *.pptx, *jpg, *.txt, *.lnk, *.dll, *.tmp., etc.
- Exfiltración: el malware implementa varios conectores de red para exfiltrar datos, lo que incluye cargar datos a través de FTP y tres variantes distintas de mecanismos de comunicación HTTP.
¿Cómo puedo saber si soy víctima de una infección?
Los productos Kaspersky Lab detectan la puerta trasera de CosmicDuke como Backdoor.Win32.CosmicDuke.gen y Backdoor.Win32.Generic. Si tienes un producto Kaspersky, el malware CosmicDuke ya se habrá detectado. Si no utilizas un producto Kaspersky, debes descargar e instalar cualquiera de los productos antivirus Kaspersky y ejecutar el software.