Saltar al contenido principal

Malware CosmicDuke (el "nuevo" MiniDuke)

DEFINICIÓN DEL VIRUS

¿Cuál es?

Descubierto en 2014, CosmicDuke utiliza los implantes del antiguo MiniDuke de 2013 que aún existen y se utilizan en campañas activas dirigidas a los gobiernos y a otras instituciones. Tras la exposición de 2013, el actor detrás de MiniDuke comenzó a utilizar otro backdoor (puerta trasera) personalizado. El "nuevo" y principal backdoor de MiniDuke (también conocido como TinyBaron o CosmicDuke) es capaz de robar distintos tipos de información.

Aunque el actor de APT Miniduke detuvo su campaña o, al menos, redujo su intensidad, a comienzos de 2014 se reanudaron una vez más los ataques en pleno vigor a comienzos de 2014. En esta ocasión hemos notado cambios en la forma de actuar de los atacantes y en las herramientas que utilizan.

Detalles

El "nuevo" y principal backdoor de MiniDuke (también conocido como TinyBaron o CosmicDuke) está compilado mediante un marco personalizable llamado BotGenStudio, que tiene flexibilidad para activar o desactivar componentes cuando se construye el bot.

Los componentes se pueden dividir en 3 grupos:

  • Persistencia: MiniDuke/CosmicDuke es capaz de iniciarse con el Programador de tareas de Windows
  • Reconocimiento: el malware puede robar una gran variedad de información, incluidos archivos basados en extensiones y en palabras clave de nombres de archivo, como *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp., etc.
  • Exfiltración: el malware implementa varios conectores de red para exfiltrar datos, lo que incluye la carga de datos mediante FTP y tres variantes de mecanismos de comunicación HTTP.

¿Cómo puedo saber si estoy infectado?

Los productos de Kaspersky detectan el backdoor de CosmicDuke como Backdoor.Win32.CosmicDuke.gen y Backdoor.Win32.Generic. Si ya dispones de un producto de Kaspersky, ya se debería haber detectado el malware CosmicDuke. Si aún no tienes instalado un producto de Kaspersky, tendrás que descargar e instalar cualquiera de los productos antivirus de Kaspersky, y ejecutar el software.

Malware CosmicDuke (el "nuevo" MiniDuke)

¿Cuál es la amenaza de malware CosmicDuke, qué hace, y estás infectado? Descúbrelo aquí.
Kaspersky logo

Artículos relacionados