DEFINIZIONE DEL VIRUS
Quale?
Scoperto nel 2014, il malware CosmicDuke utilizza l'impianto del vecchio MiniDuke, datato 2013, ancora oggi in uso da parte di campagne attive che mirano a colpire i governi e altri enti. Dopo lo smascheramento avvenuto nel 2013, gli autori del malware MiniDuke hanno iniziato a usare un altro backdoor personalizzato. Il backdoor del "nuovo" Miniduke, conosciuto anche come TinyBaron o CosmicDuke, è in grado di rubare diversi tipi di informazione.
Sebbene gli autori dell'APT Miniduke abbiano fermato o quantomeno diminuito l'intensità della loro campagna, gli attacchi sono ritornati con forza agli inizi del 2014, questa volta diversi nelle modalità e nella tipologia di strumenti utilizzati.
Dettagli
Il backdoor del "nuovo" Miniduke, conosciuto anche come TinyBaron o CosmicDuke, viene generato utilizzando un framework personalizzabile, la cui flessibilità permette di abilitare o disabilitare i componenti quando viene messo in funzione un bot.
Questi componenti possono essere divisi in 3 gruppi:
- Persistenza: Miniduke o CosmicDuke è in grado di avviarsi attraverso Task Scheduler di Windows;
- Ricognizione: il malware è in grado di rubare molte informazioni, compresi estensioni di file e parole chiave relative al nome del file, come *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp., ecc.
- Esfiltrazione: il malware si serve di diversi connettori di rete per esfiltrare dati di diverso tipo, tra cui dati caricati tramite risorse FTP e le tre varianti dei meccanismi di comunicazione HTTP.
Come scoprire se il computer è infetto?
I prodotti Kaspersky Lab rilevano il backdoor CosmicDuke come Backdoor.Win32.CosmicDuke.gen e Backdoor.Win32.Generic. Se si dispone già di un prodotto Kaspersky, probabilmente il malware CosmicDuke è già stato rilevato. Se invece non è ancora stato installato nessun prodotto Kaspersky, sarà necessarioscaricare e installare un qualsiasi prodotto antivirus Kaspersky ed eseguire il software.
