Luego de que Kaspersky Lab lo descubriese en 2013 y sus asaltos mermaran a niveles significativos, hoy día la gente de la líder en seguridad informática ha informado que el malware Miniduke ha retomado su camino …y de qué manera.
Según información de la propia compañía, nuevos implantes de Miniduke están siendo utilizados en campañas activas dirigidas a gobiernos y otras entidades. Además, la nueva plataforma de Miniduke, BotGenStudio, puede ser utilizada no solo por ciberdelincuentes siguiendo el estilo APT, sino también por fuerzas del orden y delincuentes tradicionales.
Aunque la campaña de Miniduke ATP se paró, o al menos redujo su intensidad, a raíz del anuncio realizado por Kaspersky Lab con su socio, CrySyS Lab, el año pasado, a comienzos de 2014 reanudaron los ataques con mucha intensidad.
Miniduke en modo “reloaded”
Igualmente, se conoció que Miniduke ha comenzado utilizar otro backdoor personalizado que le permite robar varios tipos de información; esto, bajo el disfraz de apps populares que se ejecutan en segundo plano -incluyendo información de archivo, iconos e incluso el tamaño del archivo-
Los nuevos backdoor principales de Miniduke (también conocido como TinyBaron o CosmicDuke) son capaces de extenderse en un marco personalizable llamado BotGenStudio que cuenta con flexibilidad para habilitar o deshabilitar componentes. Sus componentes se dividen en tres grupos:
1. Persistencia Miniduke / CosmicDuke es capaz de iniciarse a través del Programador de tareas de Windows, un servicio binario personalizado que genera un nuevo proceso establecido en la clave del registro o se inicia cuando el usuario se ha ido y se activa el protector de pantalla.
2. Reconocimiento El malware es capaz de robar gran variedad de información, incluyendo los archivos, basándose en extensiones de nombre y palabras clave, como * exe.;. * NDB.; * mp3.; * avi.; * rar.; * docx.; * url.; . * xlsx; * pptx.; * PSW *; * pase *; * login *; * administrador *; * vpn; * jpg.; * TXT.; * lnk.; * dll.; *. tmp., etc
Este backdoor tiene muchas otras funciones que incluyen: keylogger, capturadores de información de la red o de pantalla, del portapapeles, robo de la libreta de direcciones de Outlook, robo de contraseñas de Skype, Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird, recopilación de datos protegidos de almacenamiento, exportador de certificados y claves privadas…
3. Filtraciones El malware implanta varios conectores de red para filtrar datos, incluyendo la subida de elementos a través de FTP y tres tipos diferentes de los protocolos de comunicación HTTP.
En lo que respecta a sus víctimas, Kaspersky Lab manifestó que este malware le asigna a cada una de ellas una identificación única con la que es capaz de controlar sus ataques de forma individual.
Igualmente, la compañía reveló que Miniduke ha expandido su campo de acción. Y es que mientras los antiguos implantes de Miniduke tenían como objetivos principales a entidades gubernamentales, los nuevos implantes CosmicDuke tienen una tipología diferente de víctimas, reseñándose el ejemplo de personas –halladas sólo en Rusia- que parecían estar involucrados en el tráfico y venta de sustancias controladas e ilegales.
«Es un poco inesperado. Normalmente, cuando oímos hablar de APT, tendemos a pensar que son campañas de espionaje cibernético a naciones. Pero vemos dos explicaciones para esto. Una posibilidad es que BotGenStudio, la plataforma de malware utilizado en Miniduke, también esté disponible como una función de espionaje legal, similar a otras, tales como RCS de HackingTeam, ampliamente utilizado por la policía. Otra posibilidad es que simplemente esté disponible en el mercado negro y lo hayan comprado y usado varios competidores del negocio farmacéutico para espiarse entre ellos», explicó Vitaly Kamluk, analista del GREAT de Kaspersky Lab
Los productos de Kaspersky Lab han detectado el backdoor de CosmicDuke como Backdoor.Win32.CosmicDuke.gen y Backdoor.Win32.Generic.
Ya para finalizar, vale mencionar otro espeluznante aspecto de este malware. Como si fuera poco todo lo anterior, Miniduke se autoprotege utilizando un “cargador ofuscado personalizado que consume grandes recursos de la CPU antes de pasar a la ejecución de la carga útil”, por lo que logra evitar las soluciones antimalware. ¡Susto!
Habrá que tomar medidas y documentarnos para evitar engrosar la lista de víctimas del terrible Miniduke.
Equipo de redacción de GizTab
