A rosszindulatú eszközkészlet funkcionalitása és felépítése erős hasonlóságot mutat a jelekből ítélve feltehetőleg orosz anyanyelvű hackerek által irányított MiniDuke, CosmicDuke és OnionDuke kiberkémkedési kampányoknál alkalmazott eszközkészletével. A MiniDuke és a CosmicDuke jelenleg is aktív, és diplomáciai szervezeteket, nagykövetségeket, energia-, olaj- és gázipari cégeket, telekommunikációs vállalatokat, katonai létesítményeket, valamint akadémiai és kutatási intézményeket céloz több országban is.
A CozyDuke csoport főként célzott adathalászattal, feltört webhelyekre – melyek között néha ismert legális webhelyek találhatók, például a „diplomacy.pl” – mutató hivatkozásokat tartalmazó e-mailekkel próbálja meg becserkészni áldozatait. Ezeken a weboldalakon egy ZIP tömörítvényben helyezi el a malware-t. Egy másik módszere flashvideóknak álcázott rosszindulatú végrehajtható fájlok szétküldése e-mailek mellékleteként.
A program egy backdoort és egy telepítőt (dropper) használ. A rosszindulatú program információt küld a célpontról a parancs és vezérlő szervernek, majd konfigurációs fájlt és további modulokat tölt le, amelyek megvalósítják a támadók által igényelt funkciókat.
Tippek a felhasználóknak
• Ne kattintsunk ismeretlen forrásból származó csatolmányokra és hivatkozásokra!
• Rendszeresen vizsgáljuk át PC-nket egy fejlett antimalware megoldással!
• Óvakodjunk a ZIP-tömörítvénybe csomagolt SFX fájloktól!
• Ha gyanúsnak találunk egy csatolmányt, nyissuk meg egy sandboxban!
• Tartsuk naprakész állapotban az operációs rendszerünket, telepítsünk hozzá minden frissítést!
• Frissítsük rendszeresen az olyan elterjedt alkalmazásokat, mint a Microsoft Office, a Java, az Adobe Flash Player és az Adobe Reader!
