Egy ismert számítástechnikai biztonsággal foglalkozó társaság 2014 júniusában a MiniDuke egy újabb változatára CosmicDuke-ra bukkant, melynek potenciális célpontjai lehetnek a kormányzati és katonai hálózatok. A malware viselkedésének részletes elemzése során hasonlóságokat figyeltek meg mind a MiniDuke-kal, mind a Cosmu családba tartozó, információlopásra használt káros kódokkal is.
Mindeddig a terjedés módjáról keveset tudni, ám a sikeres installáció után az alábbi tevékenységek észlelhetőek:
-
billentyűnaplózási tevékenység,
-
képernyőkép-mentés,
-
adatlopás a virtuális vágólapról,
-
fájllopás a feltört rendszerből,
-
PKL titkosítási és biztonsági tanúsítványokhoz kapcsolódó privát kulcsok eltulajdonítása,
-
felhasználónevek és jelszavak eltulajdonítása a böngészőből és az e-mail szerverekről,
-
hálózati jelszavak eltulajdonítása.
A káros kód a MiniDuke-hoz hasonlóan, elsősorban de nem kizárólag a kormányzati szereplőket célozza, mint például a kormányzati hálózatok, diplomáciai létesítmények, energetikai és távközlési szektor és a hadsereg, esetleg az illegális kábítószer-kereskedelemmel összefüggésbe hozható szervezetek. Legnagyobb számban Oroszországból és az Egyesült Államokból jelentettek fertőzést, de megtámadtak indiai, egyesült királyságbeli, litván és ukrán célpontokat is.
Források:
http://www.f-secure.com/documents/996508/1030745/cosmicduke_whitepaper.pdf
http://securelist.com/blog/incidents/64107/miniduke-is-back-nemesis-gemina-and-the-botgen-studio/
