ОПРЕДЕЛЕНИЕ УГРОЗЫ
Что это такое?
Обнаруженный в 2014 году, CosmicDuke использует вредоносный код Miniduke, разработанный злоумышленниками в 2013 году с использованием некоторых техник «старой школы» и по-прежнему применяющийся в кампаниях, целями которых являются правительства и другие организации. После раскрытия в 2013 году атакующие Miniduke переключились на использование другого бэкдора, известного как TinyBaron или CosmicDuke, который способен похищать большое количество различной информации.
После ряда публикаций в 2013 Miniduke приостановил или как минимум замедлил интенсивность атак. Однако в начале 2014 года атакующие продолжили работать в полную мощью На этот раз мы заметили изменения в действиях атакующих и инструментах, которые они используют.
Подробности
Основной «нового» бэкдор Miniduke (он же TinyBaron или CosmicDuke) скомпилирован с помощью BotGenStudio – настраиваемого фреймворка, позволяющего злоумышленникам включать и отключать компоненты на этапе сборки бота.
Эти компоненты можно разделить на 3 группы:
- Устойчивость - Miniduke/CosmicDuke может запускаться с помощью планировщика заданий Windows
- Сбор данных - вредоносное ПО может красть различные виды информации, включая файлы, чьи имена или расширения содержат следующие ключевые слова: *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp., etc.
- Передача данных - вредоносная программа использует несколько видов сетевых соединений для передачи данных, включая отправку данных на FTP и три различных способа коммуникации через HTTP.
Как узнать, заражен ли мой компьютер?
Продукты «Лаборатории Касперского» детектируют бэкдор CosmicDuke как Backdoor.Win32.CosmicDuke.gen и Backdoor.Win32.Generic. Если на вашем компьютере установлен продукт «Лаборатории Касперского», вредоносное ПО CosmicDuke должно быть уже обнаружено. Если продукт «Лаборатории Касперского» не установлен, вам необходимо загрузить и установить любое защитное решение «Лаборатории Касперского» и запустить его.