DÉFINITION DU VIRUS
Qu’est-ce que c’est ?
Découvert en 2014, CosmicDuke utilise les anciens implants MiniDuke de 2013 toujours en circulation et utilisés dans des campagnes actives qui ciblent les gouvernements et d’autres entités. Après l’exposition de 2013, l’auteur qui se cache derrière Miniduke a commencé à utiliser un autre backdoor personnalisé. Le « nouveau » backdoor principal Miniduke (également connu sous le nom de TinyBaron ou CosmicDuke) est capable de dérober divers types d’informations.
Bien que l’auteur de l’APT Miniduke ait mis fin à sa campagne, ou tout du moins en ait réduit l’intensité, les attaques ont repris de plus belle début 2014. Cette fois-ci, nous avons constaté que les pirates avaient changé leurs méthodes et utilisaient d’autres outils.
Détails
Le « nouveau » backdoor principal Miniduke (également connu sous le nom de TinyBaron ou CosmicDuke) est compilé à l’aide d’un cadre personnalisable appelé BotGenStudio, qui offre la possibilité d’activer ou de désactiver des composantes lors de la création du bot (robot).
Ces dernières peuvent être divisées en 3 groupes :
- Persistance : Miniduke/CosmicDuke est capable de démarrer via le Planificateur des tâches Windows
- Reconnaissance : le programme malveillant est capable de dérober diverses informations, notamment des fichiers en fonction des extensions et des mots clés contenus dans le nom des fichiers, par exemple *.exe, *.ndb, *.mp3, *.avi, *.rar, *.docx, *.url, *.xlsx, *.pptx, *jpg, *.txt, *.lnk, *.dll, *.tmp., etc.
- Exfiltration : le programme malveillant met en œuvre plusieurs connecteurs réseau pour exfiltrer les données, notamment en téléchargeant les données par FTP et trois mécanismes de communication HTTP différents.
Comment savoir si je suis infecté ?
Les produits de Kaspersky Lab détectent le backdoor CosmicDuke sous les noms Backdoor.Win32.CosmicDuke.gen et Backdoor.Win32.Generic. Si vous disposez déjà d’un produit Kaspersky Lab, le programme malveillant CosmicDuke a déjà dû être détecté. Dans le cas contraire, il vous faut télécharger et installer l’un des produits antivirus de Kaspersky Lab et exécuter le logiciel.