04. 07. 2014

Bezpečnostní analytici společnosti F-secure zveřejnili analýzu poslední verze spyware Cosmu. Podle zveřejněných informací tato nová verze sdílí část kódu se spywarem MiniDuke. Tato část kódu je využívána k rozbalení a nahrání škodlivého kódu do paměti počítače. Ve své studii analytici malware nazvali CosmicDuke. Tento nový název odkazuje na použití části kódu, který byl nalezen v MiniDuke.

Pro infikování oběti využívají útočníci dvou metod: exploitů (zranitelností, převážně v produktech společnosti Adobe) a sociálního inženýrství (phishing). Nejčastěji zaznamenanou formou je podvržení e-mailové zprávy, kdy oběť z vlastní vůle spustí škodlivý „.exe“ soubor. Ten má ve většině případů přisvojen vzhled běžného pdf, doc nebo jpg souboru.

Spyware v současnosti obsahuje nástroje umožňující:

  • sběr stisknutých kláves,
  • vytváření snímků obrazovky,
  • krádež datových souborů, PKI certifikátů, souvisejících privátních klíčů, uživatelských jmen a hesel z prohlížečů, messengerů a e-mailových klientů,
  • krádež hesel bezdrátových sítí a hashů Windows hesla.

Spyware se v současnosti zaměřuje na krádeže informací od uživatelů na Ukrajině, Polsku, Turecku a Rusku.

Odkazy

http://www.f-secure.com/weblog/archives/00002723.html
http://www.f-secure.com/static/doc/labs_global/Whitepapers/cosmicduke_whitepaper.pdf
http://www.kyberbezpecnost.cz/?p=2556