Seguridad

Miniduke regresa con nuevos objetivos y herramientas de ataque

Según Kaspersky Lab, la nueva campaña Miniduke ha ampliado su radio de acción para atacar tanto a organizaciones gubernamentales como a personas que venden sustancias ilegales por Internet, para lo que dispone de más herramientas para robar datos y esquivar las protecciones.

ciberseguridad-danger

Miniduke, la campaña de amenazas persistentes avanzadas (APT) descubierta por investigadores de Kaspersky Lab y Crysys Lab en febrero de 2013, ha regresado con fuerzas renovadas después de un paréntesis de un año en el que los ataques disminuyeron casi en su totalidad.

Como principal novedad, esta segunda ola de ataques ha ampliado su ámbito de aplicación. Así, además de robar información de organizaciones relacionadas con el gobierno, la diplomacia, la energía, las telecomunicaciones y los contratos militares, Miniduke espía a los vendedores online de sustancias ilegales, como hormonas y esteroides. Por otra parte, el Miniduke renovado tiene más herramientas para robar datos y mejores protecciones diseñadas para mantener a los investigadores lejos de esos datos, entre otras características nuevas.

Según Kaspersky Lab, los elementos más destacables de la campaña Miniduke original permanecen en uso. En este sentido, Miniduke todavía se basa en cuentas de Twitter con URL asignadas apuntando hacia el servidor de comando y control (C&C). Las direcciones URL en sí son un poco diferentes, pero el algoritmo de codificación dentro de los tweets es el mismo.

Tras examinar la actualización enviada por el servidor de C&C activo de Miniduke, los investigadores descubrieron una serie de nuevas características. Curiosamente, a cada máquina infectada se le asigna una identificación única, que permite al servidor realizar actualizaciones específicas en las víctimas individuales. Otros cambios incluyen una función que drena los recursos de computación para limitar la eficacia del antivirus, un ofuscador personalizado y un gran uso de la encriptación y compresión basada en algoritmos RC4 y LZRW. Los desarrolladores también construyeron una nueva puerta trasera personalizada utilizando una herramienta llamada BotGenStudio, y que da al malware la capacidad de robar varios tipos de datos.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper