Felbukkant a MiniDuke egy újabb változata a CosmicDuke

Egy ismert számítástechnikai biztonsággal foglalkozó társaság 2014 júniusában a MiniDuke egy újabb változatára CosmicDuke-ra bukkant, melynek potenciális célpontjai lehetnek a kormányzati és katonai hálózatok. A malware viselkedésének részletes elemzése során hasonlóságokat figyeltek meg mind a MiniDuke-kal, mind a Cosmu családba tartozó, információlopásra használt káros kódokkal is.

Mindeddig a terjedés módjáról keveset tudni, ám a sikeres installáció után az alábbi tevékenységek észlelhetőek:

  • billentyűnaplózási tevékenység,

  • képernyőkép-mentés,

  • adatlopás a virtuális vágólapról,

  • fájllopás a feltört rendszerből,

  • PKL titkosítási és biztonsági tanúsítványokhoz kapcsolódó privát kulcsok eltulajdonítása,

  • felhasználónevek és jelszavak eltulajdonítása a böngészőből és az e-mail szerverekről,

  • hálózati jelszavak eltulajdonítása.

A káros kód a MiniDuke-hoz hasonlóan, elsősorban de nem kizárólag a kormányzati szereplőket célozza, mint például a kormányzati hálózatok, diplomáciai létesítmények, energetikai és távközlési szektor és a hadsereg, esetleg az illegális kábítószer-kereskedelemmel összefüggésbe hozható szervezetek. Legnagyobb számban Oroszországból és az Egyesült Államokból jelentettek fertőzést, de megtámadtak indiai, egyesült királyságbeli, litván és ukrán célpontokat is.

Források:

http://www.f-secure.com/documents/996508/1030745/cosmicduke_whitepaper.pdf

http://securelist.com/blog/incidents/64107/miniduke-is-back-nemesis-gemina-and-the-botgen-studio/

Címkék

cosmicduke miniDuke