DEFINIÇÃO DO VÍRUS
O que é?
Descoberto em 2014, o CosmicDuke usa os antigos implantes do Miniduke, de 2013, que ainda estão ativos e são utilizados em campanhas que têm como alvo órgãos governamentais e outras entidades. Depois da exposição de 2013, o agente por trás do Miniduke passou a usar outro backdoor personalizado. O “novo” backdoor principal do Miniduke (também chamado de TinyBaron ou CosmicDuke) é capaz de roubar vários tipos de informações.
Embora o agente da APT Miniduke tenha interrompido sua campanha, ou ao menos reduzido sua intensidade, no início de 2014, ele retomou os ataques com força total. Mas dessa vez, observamos mudanças na forma como os invasores agem e nas ferramentas que usam.
Detalhes
O “novo” backdoor principal do Miniduke (também chamado de TinyBaron ou CosmicDuke) é compilado usando uma estrutura personalizável chamada BotGenStudio, flexível o suficiente para habilitar ou desabilitar componentes durante a formação do bot.
Os componentes são divididos em três grupos:
- Persistência – o Miniduke/CosmicDuke pode ser iniciado pelo Agendador de Tarefas do Windows
- Reconhecimento – o malware consegue roubar diversas informações, como arquivos baseados em extensões e palavras-chave de nomes de arquivos, como *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp, etc.
- Evasão - o malware implementa diversos conectores de rede para burlar dados, incluindo o upload de dados por FTP e três variantes de mecanismos de comunicação por HTTP.
Como saber se fui infectado?
Os produtos da Kaspersky Lab detectam o backdoor do CosmicDuke como Backdoor.Win32.CosmicDuke.gen e Backdoor.Win32.Generic. Caso você já tenha um produto da Kaspersky, o malware CosmicDuke já deve ter sido detectado. Se você ainda não tem um produto da Kaspersky instalado, baixe e instale um dos produtos antivírus da Kaspersky e execute o software.