Estados Unidos, la Casa Blanca y El Departamento de Estado de dicho país, serían objetivos especiales de una nueva ciberamenaza de espionaje avanzado online. Se trata de ‘CozyDuke’, un malware para infectar entidades de alto perfil muy específicas.
CozyDuke fue presentado y publicado en un informe que hizo la empresa de seguridad Kaspersky, mencionando que la lista de objetivos también incluye organizaciones gubernamentales y entidades comerciales en Alemania, Corea del Sur y Uzbekistán.
Junto con su focalización muy precisa de víctimas del más alto perfil, el actor presenta otras características preocupantes. Estas incluyen el uso de capacidades de cifrado y anti-detección. Por ejemplo, el código busca la presencia de varios productos de seguridad con el fin de evadirlos, entre ellos: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal y Comodo Dragon.
¿Cómo opera CozyDuke?
A menudo infecta a sus objetivos con correos electrónicos que contienen un enlace a un sitio web hackeado –a veces se trata de sitios legítimos de alto perfil como ‘diplomacy.pl’– que alberga un archivo ZIP infectado con malware. En otras operaciones de mucho éxito, este actor envía videos flash falsos con archivos ejecutables maliciosos incluidos como correos electrónicos anexos.
CozyDuke utiliza una puerta trasera y un “dropper” (instalador). El programa malicioso envía información acerca del objetivo al servidor de comando y control, y recupera archivos de configuración y módulos adicionales que implementan alguna funcionalidad extra necesaria para los atacantes.
Como siempre las recomendaciones para los usuarios son las mismas: no abra archivos anexos y sospechosos de personas que usted no conoce. Tenga cuidado con archivos ZIP que contengan archivos SFX y asegúrate de que tu sistema operativo esté con todos los parches instalados y sea lo más nuevo posible. Así también mantener actualizadas las aplicaciones de terceros como Microsoft Office, Java, Flash Player y Adobe Reader (PDF).
