CozyDuke, una ATP dirigida que preocupa a gobiernos y empresas

Josep Verdura - Analista de Seguridad de Vintegris opina sobre la seguridad en Internet

Josep Verdura – Analista de Seguridad de Vintegris

El ataque de este malware manipula una variedad de sofisticadas técnicas, como codificación, capacidad anti-detección y un conjunto bien desarrollado de componentes que son estructuralmente similares a anteriores amenazas de la familia “Duke”.

No obstante, una de las particularidades más destacadas de CozyDuke es que recurre a la ingeniería social para los objetivos a los que apunta.

Algunos de los mensajes de correo spear-phishing de los atacantes contienen un enlace a sitios web comprometidos, algunos legítimos y reconocidos, que alojan un archivo comprimido ZIP. Este ZIP contiene un archivo RAR SFX que instala el programa malicioso mientras muestra un archivo PDF vacío como señuelo. Otra estrategia consiste en adjuntar videos flash falso a los mensajes de correo.

Un caso relevante que dio el nombre al vector es “OfficeMonkeys LOL Video.zip”. Al ejecutarse, descarga un ejecutable CozyDuke en el equipo, mientras reproduce, a manera de carnada, un video divertido que muestra un conjunto de monos trabajando en una oficina. Esto seduce a las víctimas y les genera las ganas de compartirlos con sus amigos. Así viralizan el video entre sus contactos, aumentando así el número de equipos infectados.

La capacidad de utilizar la ingeniería social, utilizada por CozyDuke y muchos otros ataques dirigidos para engañar a las víctimas e inducirlos a hacer algo que pone en peligro la seguridad corporativa, nos recuerda muchas de las notas que hemos volcado en este blog, en donde marcamos la importancia de educar a los empleados para que actúen en coherencia con la planificación de seguridad que se genera desde el mismo escritorio del CISO.

Josep Verdura – Analista de Seguridad de Vintegris