DEFINICIÓN DEL VIRUS
¿Cuál es?
Descubierto en 2014, CosmicDuke utiliza los implantes del antiguo MiniDuke de 2013 que aún existen y se utilizan en campañas activas dirigidas a los gobiernos y a otras instituciones. Tras la exposición de 2013, el actor detrás de MiniDuke comenzó a utilizar otro backdoor (puerta trasera) personalizado. El "nuevo" y principal backdoor de MiniDuke (también conocido como TinyBaron o CosmicDuke) es capaz de robar distintos tipos de información.
Aunque el actor de APT Miniduke detuvo su campaña o, al menos, redujo su intensidad, a comienzos de 2014 se reanudaron una vez más los ataques en pleno vigor a comienzos de 2014. En esta ocasión hemos notado cambios en la forma de actuar de los atacantes y en las herramientas que utilizan.
Detalles
El "nuevo" y principal backdoor de MiniDuke (también conocido como TinyBaron o CosmicDuke) está compilado mediante un marco personalizable llamado BotGenStudio, que tiene flexibilidad para activar o desactivar componentes cuando se construye el bot.
Los componentes se pueden dividir en 3 grupos:
- Persistencia: MiniDuke/CosmicDuke es capaz de iniciarse con el Programador de tareas de Windows
- Reconocimiento: el malware puede robar una gran variedad de información, incluidos archivos basados en extensiones y en palabras clave de nombres de archivo, como *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp., etc.
- Exfiltración: el malware implementa varios conectores de red para exfiltrar datos, lo que incluye la carga de datos mediante FTP y tres variantes de mecanismos de comunicación HTTP.
¿Cómo puedo saber si estoy infectado?
Los productos de Kaspersky detectan el backdoor de CosmicDuke como Backdoor.Win32.CosmicDuke.gen y Backdoor.Win32.Generic. Si ya dispones de un producto de Kaspersky, ya se debería haber detectado el malware CosmicDuke. Si aún no tienes instalado un producto de Kaspersky, tendrás que descargar e instalar cualquiera de los productos antivirus de Kaspersky, y ejecutar el software.