Descubren nueva ciberamenaza CozyDuke
Nueva ciberamenaza CozyDuke
El Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT por sus siglas en inglés) publicó un informe en el cual describe una nueva campaña de ciberespionaje avanzada la cual utiliza malware para infectar entidades de alto perfil muy específicas. Se cree que en Estados Unidos, la Casa Blanca y El Departamento de Estado están incluidos como objetivos, aunque la lista del atacante también incluye organizaciones gubernamentales y entidades comerciales en Alemania, Corea del Sur y Uzbekistán.
Junto con su focalización muy precisa de víctimas del más alto perfil, el actor presenta otras características preocupantes, aunque fascinantes. Estas incluyen el uso de capacidades de cifrado y anti-detección. Por ejemplo, el código busca la presencia de varios productos de seguridad con el fin de evadirlos, entre ellos: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal y Comodo Dragon.
Conexión con otros actores del ciberespionaje
Los expertos de seguridad de Kaspersky Lab desenmascararon la fuerte funcionalidad maliciosa del programa, así como similitudes estructurales semejantes a las herramientas de las campañas de ciberespionaje MiniDuke, CosmicDuke y OnionDuke; operaciones que, según varios indicadores, se cree que están administradas por autores de lengua rusa. Las observaciones de Kaspersky Lab muestran que MiniDuke y CosmicDuke están todavía activos y atacando organizaciones diplomáticas, embajadas, energía, compañías de gas y petróleo, telecomunicaciones, militares e instituciones académicas y de investigación en varios países.
Método de distribución
El actor de CozyDuke a menudo infecta a sus objetivos con correos electrónicos que contienen un enlace a un sitio web hackeado – a veces se trata de sitios legítimos de alto perfil como ‘diplomacy.pl’ – que alberga un archivo ZIP infectado con malware. En otras operaciones de mucho éxito, este actor envía videos flash falsos con archivos ejecutables maliciosos incluidos como correos electrónicos anexos.
CozyDuke utiliza una puerta trasera y un “dropper” (instalador). El programa malicioso envía información acerca del objetivo al servidor de comando y control, y recupera archivos de configuración y módulos adicionales que implementan alguna funcionalidad extra necesaria para los atacantes.
“Hemos estado vigilando a MiniDuke y a CosmicDuke durante un par de años. Kaspersky Lab fue el primero en advertir acerca de los ataques de MiniDuke en el 2013, y las muestras conocidas más “antiguas” de esta ciberamenaza son del año 2008. CozyDuke está definitivamente conectado a estas dos campañas, así como a la operación de ciberespionaje OnionDuke. Cada uno de estos actores continúa rastreando sus objetivos, y nosotros creemos que sus herramientas de espionaje están creadas y administradas por hablantes de idioma ruso“, dice Kurt Baumgartner, Investigador Principal de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky Lab.
Consejos para los usuarios
No abrir archivos anexos y sospechosos de personas que no conoces
Analiza regularmente tu computadora con una solución anti-malware avanzada
Ten cuidado con archivos ZIP que contengan archivos SFX (autoextraibles)
Si no estás seguro del archivo anexo, trata de abrirlo en un “sandbox” (espacio aislado)
Asegúrate de que tienes un sistema operativo moderno con todos los parches instalados
Actualiza todas las aplicaciones de terceros como Microsoft Office, Java, Flash Player de Adobe y Adobe Reader.
Ver informacion original al respecto en Fuente :
tos.com/2015/04/24/descubren-ciberamenaza-cozyduke/
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.