El Duque está de vuelta: Kaspersky Lab descubre la nueva amenaza cibernética 'CozyDuke', relacionada con el infame 'Miniduke'
El equipo de análisis y estudio global de Kaspersky Lab ha publicado un reporte describiendo una nueva y avanzada campaña de ciberespionaje usando malware para apuntar a entidades muy específicas, de alto perfil. Se cree que entre los blancos en Estados Unidos se encuentran la Casa Blanca y el Departamento de Estado, mientras que en la lista del atacante incluyen organizaciones gubernamentales y entidades comerciales en Alemania, Corea del Sur y Uzbekistán.
En conjunto con listar víctimas del más alto perfil como objetivos, la agente amenaza exhibe otras, aunque preocupantes, fascinantes características. Estas incluyen el uso de encriptación y capacidades anti-detección. Por ejemplo, el código busca la presencia de varios productos de seguridad para poder evadirlos, a saber: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal y Comodo Dragon.
Conexión a otros agentes de ciberespionaje
Expertos en Seguridad de Kaspersky Lab descubrieron poderosas funcionalidades maliciosas en el programa, así como similitudes estructurales comparables con las de campañas de ciberespionaje como 'MiniDuke', 'CosmicDuke' y 'OnionDuke'; operaciones que, de acuerdo al número de indicadores, se cree son administradas por autores ruso parlantes. Las observaciones hechas por Kaspersky Lab muestran que MiniDuke y CosmicDuke están todavía en actividad, tomando como objetivos organizaciones diplomáticas, embajadas, compañías de energía, petróleo y gas, instituciones de telecomunicaciones, militares, académicas y de investigación en varios países.
Método de Distribución
El agente 'CozyDuke' usualmente hace Spear Phishing (una variante de phishing hacia objetivos específicos) a sus objetivos con emails que contienen un vínculo a un website hackeado – a veces a sitios legítimos y de alto perfil, como 'diplomacy.pl' – el cual aloja un archivo ZIP falseado con malware. En otras carreras más exitosas, este agente envía videos de flash falsos con ejecutables maliciosos incluidos como archivos adjuntos en el correo.
CozyDuke utiliza una puerta trasera y un 'Dropper'. El programa malicioso envía información acerca del objetivo al servidor de control y comando, y recupera archivos de configuración y módulos adicionales implementando cualquier funcionalidad extra de necesidad para los atacantes.
"Hemos estado monitoreando tanto a MiniDike como a CosmicDuke por un par de años. Kaspersky Lab fueron los primeros en advertir acerca de ataques de Miniduke en 2013, con las conocidas muestras 'oldset' de esta amenaza que datan de 2008. CozyDuke está definitivamente conectado a estas dos campañas, así como a la Operación de ciberespionaje de OnionDuke. Todos y cada uno de estos agentes amenaza continúan rastreando a sus objetivos, y creemos que sus herramientas de espionaje son todas creadas y administradas por ruso parlantes"
Los productos de Kaspersky Lab detectan todas las muestras conocidas y protegen a los usuarios contra esta amenaza.
Tips para usuarios:
- No abra archivos adjuntos ni vínculos de personas desconocidas.
- Escanee regularmente su computadora con alguna solución avanzada anti-malware
- Tenga precaución con archivos ZIP que contengan archivos SFX adentro
- Si no está seguro del archivo adjunto, intente abrirlo en un 'Sandbox'
- Asegúrese de tener un sistema operativo moderno con todos los parches y actualizaciones instalados.
- Actualice todas las aplicaciones de terceros como Microsoft Office, Java, Adobe Flash Player y Adobe Reader
- Para aprender más acerca de la operación 'CozyDuke', por favor lea la entrada de blog en Securelist.com
