Passa al contenuto principale

Malware CosmicDuke (il "nuovo" MiniDuke)

DEFINIZIONE DEL VIRUS

Quale?

Scoperto nel 2014, il malware CosmicDuke utilizza l'impianto del vecchio MiniDuke, datato 2013, ancora oggi in uso da parte di campagne attive che mirano a colpire i governi e altri enti. Dopo lo smascheramento avvenuto nel 2013, gli autori del malware MiniDuke hanno iniziato a usare un altro backdoor personalizzato. Il backdoor del "nuovo" Miniduke, conosciuto anche come TinyBaron o CosmicDuke, è in grado di rubare diversi tipi di informazione.

Sebbene gli autori dell'APT Miniduke abbiano fermato o quantomeno diminuito l'intensità della loro campagna, gli attacchi sono ritornati con forza agli inizi del 2014, questa volta diversi nelle modalità e nella tipologia di strumenti utilizzati.

Dettagli

Il backdoor del "nuovo" Miniduke, conosciuto anche come TinyBaron o CosmicDuke, viene generato utilizzando un framework personalizzabile, la cui flessibilità permette di abilitare o disabilitare i componenti quando viene messo in funzione un bot.

Questi componenti possono essere divisi in 3 gruppi:

  • Persistenza: Miniduke o CosmicDuke è in grado di avviarsi attraverso Task Scheduler di Windows;
  • Ricognizione: il malware è in grado di rubare molte informazioni, compresi estensioni di file e parole chiave relative al nome del file, come *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp., ecc.
  • Esfiltrazione: il malware si serve di diversi connettori di rete per esfiltrare dati di diverso tipo, tra cui dati caricati tramite risorse FTP e le tre varianti dei meccanismi di comunicazione HTTP.

Come scoprire se il computer è infetto?

I prodotti Kaspersky Lab rilevano il backdoor CosmicDuke come Backdoor.Win32.CosmicDuke.gen e Backdoor.Win32.Generic. Se si dispone già di un prodotto Kaspersky, probabilmente il malware CosmicDuke è già stato rilevato. Se invece non è ancora stato installato nessun prodotto Kaspersky, sarà necessarioscaricare e installare un qualsiasi prodotto antivirus Kaspersky ed eseguire il software.

Malware CosmicDuke (il "nuovo" MiniDuke)

Cos'è la minaccia del malware Cosmic Duke, cosa fa e come capire se si è infetti? Maggiori informazioni qui.
Kaspersky logo