Pesquisadores de segurança descobriram uma ligação entre um cavalo de Tróia e uma ferramenta de ciber-espionagem descoberto recentemente que sugere ciber-espiões atrás de recentes ataques a governos ocidentais cortou seus dentes escrever Trojans convencionais.
CosmicDuke combina elementos do Cosmu Trojan e um backdoor conhecido como MiniDuke, previamente associados com ataques de estilo ciberespionagem.
MiniDuke, identificado pela primeira vez em fevereiro de 2013, surgiu em ataques contra a NATO e as agências governamentais europeias.
Uma análise recente da empresa de anti-vírus finlandesa F-Secure revelou que a tensão de longa duração Cosmu de ladrões de informação estava usando o mesmo carregador como MiniDuke terceira fase. Timestamps compilação mostrar que era Cosmu - não MiniDuke - que originalmente usado o carregador comum compartilhada.
"Além disso, descobrimos que o carregador foi atualizado em algum ponto, e ambas as famílias de malware levou o carregador atualizada em uso", um post no blog pela F-Secure Timo Hirvonen segurança pesquisador explica. "Desde Cosmu é o primeiro malware conhecido para compartilhar código com MiniDuke, decidimos nomear as amostras que mostram esta amálgama de o carregador MiniDuke derivados e carga Cosmu derivados como CosmicDuke".
Infecções CosmicDuke começar enganando alvos a abrir um arquivo PDF que contém um exploit ou um executável do Windows cujo nome é manipulado para fazer parecer que um documento ou arquivo de imagem. Algumas das amostras exibir um documento chamariz para o usuário, tais como "A Ucrânia-gás Pipelines-Security-Report-Março-2014.pdf" no exemplo citado por F-Secure. Outro documento chamariz apresenta como um recibo de língua russa para o pagamento.
Uma vez implantado com sucesso, CosmicDuke começa a coleta de informações a partir de sistemas comprometidos. Suas informações roubar componentes incluem um keylogger, ladrão de prancheta, captura de imagem, e ladrões de senhas para uma variedade de bate-papo popular, e-mail e programas de navegação na Internet. CosmicDuke também coleta informações sobre os arquivos em sistemas comprometidos, bem como a agregação a capacidade de exportar certificados de criptografia e as chaves privadas associadas.
Os dados sensíveis engolia de sistemas comprometidos é enviado para servidores remotos via FTP. Além de roubar informações, CosmicDuke criou um backdoor em redes comprometidas, permitindo meliantes para baixar malware secundário.
Mais detalhes sobre o malware pode ser encontrado em uma análise técnica mais abrangente pela F-Secure aqui (PDF) . ®
Nenhum comentário:
Postar um comentário