Tahun 2014 ini ada lagi satu malware yang sempat menjadi perbincangan di kalangan peneliti malware. Yaitu malware cosmic duke. Malware ini memiliki bagian source code yang mengkombinasikan dua jenis malware yang berbeda, malware Miniduke (sejenis APT) dan malware Cosmu. Bagian loader memiliki kesamaan dengan Miniduke, sementara payload malware ini mirip dengan Cosmu. Karenanya peneliti malware menamakan malware ini Cosmic Duke.
Malware ini banyak ditemukan di Ukraina, Polandia, Turki dan Rusia. Malware ini ditemukan menyebar di institusi pemerintahan, diplomat, militer dan sektor energi. Menurut Kaspersky korban dari malware ini termasuk juga pelaku penjual obat-obatan terlarang, seperti steroid dan hormon terlarang. Infeksi malware ini dimulai dengan memancing korban untuk membuka sebuah file pdf yang sudah ditempel dengan exploit. Selain itu pada kasus lain korban dipancing untuk membuka sebuah file exe yang disamarkan menjadi bentuk gambar atau file dokumen.
Setelah masuk ke komputer target, malware kemudian mengumpulkan berbagai informasi penting dari komputer korban. Beberapa fungsi yang dimiliki oleh malware ini adalah keylogger, membaca clipboard, membuat screenshot, mencuri password dari beberapa layanan chat, layanan email dan web browser. Selain itu Cosmic Duke juga mampu melakukan export sertifikat kriptografi dan mencuri kunci privat dari target.
Informasi yang telah dikumpulkan akan dikirim ke server melalui FTP. Selain itu malware ini dapat mengunduh malware lainnya untuk dipasang di komputer target. Malware ini dilindungi dengan enkripsi yang menggunakan algoritma RC4 dan LZRW.
Semoga bermanfaat!
Bacaan lanjutan tentang malware ini bisa dilihat disini:
https://www.f-secure.com/documents/996508/1030745/cosmicduke_whitepaper.pdf
http://securelist.com/blog/incidents/64107/miniduke-is-back-nemesis-gemina-and-the-botgen-studio/