Image Image Image Image Image Image Image Image Image Image

GizTab | May 22, 2018

Scroll to top

Arriba

0

Kaspersky Lab: ¡Atención! Miniduke ha regresado

Kaspersky Lab: ¡Atención! Miniduke ha regresado

Luego de que Kaspersky Lab lo descubriese en 2013 y sus asaltos mermaran a niveles significativos, hoy día la gente de la líder en seguridad informática ha informado que el malware Miniduke ha retomado su camino …y de qué manera.

Según información de la propia compañía, nuevos implantes de Miniduke están siendo utilizados en campañas activas dirigidas a gobiernos y otras entidades. Además, la nueva plataforma de Miniduke, BotGenStudio, puede ser utilizada no solo por ciberdelincuentes siguiendo el estilo APT, sino también por fuerzas del orden y delincuentes tradicionales.

Aunque la campaña de Miniduke ATP se paró, o al menos redujo su intensidad, a raíz del anuncio realizado por Kaspersky Lab con su socio, CrySyS Lab, el año pasado, a comienzos de 2014 reanudaron los ataques con mucha intensidad.

Miniduke en modo “reloaded”

Igualmente, se conoció que Miniduke ha comenzado utilizar otro backdoor personalizado que le permite robar varios tipos de información; esto, bajo el disfraz de apps populares que se ejecutan en segundo plano -incluyendo información de archivo, iconos e incluso el tamaño del archivo-

Los nuevos backdoor principales de Miniduke (también conocido como TinyBaron o CosmicDuke) son capaces de extenderse en un marco personalizable llamado BotGenStudio que cuenta con flexibilidad para habilitar o deshabilitar componentes. Sus componentes se dividen en tres grupos:

1. Persistencia Miniduke / CosmicDuke es capaz de iniciarse a través del Programador de tareas de Windows, un servicio binario personalizado que genera un nuevo proceso establecido en la clave del registro o se inicia cuando el usuario se ha ido y se activa el protector de pantalla.

2. Reconocimiento El malware es capaz de robar gran variedad de información, incluyendo los archivos, basándose en extensiones de nombre y palabras clave, como * exe.;. * NDB.; * mp3.; * avi.; * rar.; * docx.; * url.; . * xlsx; * pptx.; * PSW *; * pase *; * login *; * administrador *; * vpn; * jpg.; * TXT.; * lnk.; * dll.; *. tmp., etc

Este backdoor tiene muchas otras funciones que incluyen: keylogger, capturadores de información de la red o de pantalla, del portapapeles, robo de la libreta de direcciones de Outlook, robo de contraseñas de Skype, Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird, recopilación de datos protegidos de almacenamiento, exportador de certificados y claves privadas…

3. Filtraciones El malware implanta varios conectores de red para filtrar datos, incluyendo la subida de elementos a través de FTP y tres tipos diferentes de los protocolos de comunicación HTTP.

En lo que respecta a sus víctimas, Kaspersky Lab manifestó que este malware le asigna a cada una de ellas una identificación única con la que es capaz de controlar sus ataques de forma individual.

Igualmente, la compañía reveló que Miniduke ha expandido su campo de acción. Y es que mientras los antiguos implantes de Miniduke tenían como objetivos principales a entidades gubernamentales, los nuevos implantes CosmicDuke tienen una tipología diferente de víctimas, reseñándose el ejemplo de personas –halladas sólo en Rusia- que parecían estar involucrados en el tráfico y venta de sustancias controladas e ilegales.

“Es un poco inesperado. Normalmente, cuando oímos hablar de APT, tendemos a pensar que son campañas de espionaje cibernético a naciones. Pero vemos dos explicaciones para esto. Una posibilidad es que BotGenStudio, la plataforma de malware utilizado en Miniduke, también esté disponible como una función de espionaje legal, similar a otras, tales como RCS de HackingTeam, ampliamente utilizado por la policía. Otra posibilidad es que simplemente esté disponible en el mercado negro y lo hayan comprado y usado varios competidores del negocio farmacéutico para espiarse entre ellos”, explicó Vitaly Kamluk, analista del GREAT de Kaspersky Lab

Los productos de Kaspersky Lab han detectado el backdoor de CosmicDuke como Backdoor.Win32.CosmicDuke.gen y Backdoor.Win32.Generic.

Ya para finalizar, vale mencionar otro espeluznante aspecto de este malware. Como si fuera poco todo lo anterior, Miniduke se autoprotege utilizando un “cargador ofuscado personalizado que consume grandes recursos de la CPU antes de pasar a la ejecución de la carga útil”, por lo que logra evitar las soluciones antimalware. ¡Susto!

Habrá que tomar medidas y documentarnos para evitar engrosar la lista de víctimas del terrible Miniduke.

Arleth In Vitanza

Submit a Comment

Huawei P20 Pro: La triple cámara que revoluciona la fotografía móvil (Análisis y opiniones)

09/05/2018 |

Tres lentes y un procesador concebido para la inteligencia artificial hacen del Huawei P20 Pro un móvil nacido para revolucionar la fotografía móvil. Te resumimos los puntos claves del nuevo móvil de Huawei que llega para intentar alzarse con el título de “móvil con mejor cámara”… ¿Lo conseguirá?Entérate

Fitbit Versa, el smartwatch con mejor batería: Opiniones

08/05/2018 |

Fitbit Versa, el smartwatch con batería de 4 días, incluye también cientos de apps instalables, compatibilidad con Deezer y utilidades para la mujer.Entérate

Cómo recuperar archivos borrados de forma fácil con EaseUS Data Recovery Wizard Professional 11.9

16/04/2018 |

Te contamos cómo recuperar archivos borrados en tu PC o MAC usando el software EaseUS Data Recovery Wizard Professional 11.9 que tiene una versión gratis muy completaEntérate

Facebook Iconfacebook like buttonTwitter Icontwitter follow button