CosmicDuke устанавливает MiniDuke в инфицированные системы


F-SecureИсследователи из компании F-Secure сделали открытие, что разновидность вредоноса CosmicDuke устанавливает на инфицированных системах другого вредоноса MiniDuke. Заключение было сделано исследователями в ходе мониторинга вредоносных кампаний CosmicDuke, MiniDuke и OnionDuke.

Напомним, CosmicDuke – вредонос, который был создан для похищения информации. Впервые он был обнаружен финскими специалистами еще весной прошлого года во время анализа бэкдора MiniDuke. Тогда эксперты заметили, что документы, которые использовались в качестве приманки в атаках CosmicDuke, содержали ссылки на Украину, Польшу, Турцию и Россию.

Специалисты проанализировали несколько вредоносных документов, загруженных на VirusTotal, и выяснили, что как минимум одно Министерство иностранных дел в Европе подвергалось кибершпионским атакам. Вредоносные документы обманным путем заставляли пользователей активизировать макрос, что приводило к инфицированию целевой системы вредоносной программой CosmicDuke.

По словам специалистов, данная разновидность CosmicDuke позволяет злоумышленникам установить бэкдор MiniDuke на зараженных системах.

Интересно, CosmicDuke и MiniDuke дополняют друг друга. Так CosmicDuke – предназначен для похищения информации, и идеально подходит для осуществления разведывательных действий и эксфильтрации данных. В свою очередь MiniDuke – это бэкдор, который позволяет злоумышленнику получить полный контроль над компьютером.

Подводя итоги, эксперты отметили, что CosmicDuke используется в двух типах операций:

  • в атаках, которые нацелены на правительственные и другие организации;
  • в кампаниях, нацеленных на пользователей, которые вовлечены в торговлю контролируемыми или запрещенными субстанциями.

Обновлено (09.01.2015 19:04)