TIEMPO RE@L

domingo, 3 de septiembre de 2017

ANGELFIRE PROJECT: Otro malware de la CIA para Windows

Wikileaks ha publicado una nueva oleada de documentos en el marco de #Vault7, la serie de filtraciones de información clasificada de la CIA que el portal de Julian Assange destapó el pasado mes de marzo. En esta nueva entrega, Wikileaks saco a la luz AngelFire Project, un malware de la CIA para Windows que tiene la capacidad de cargar y ejecutar implantes personalizados que alteran el sector de arranque e instalan nuevos virus. El software malicioso afecta a las versiones de 32 y 64 bits de Windows XP y Windows 7, así como en versiones de 64 bits de Windows Server 2008 R2. De acuerdo con el informe, Angelfire está formado por los cinco componentes, cuyo funcionamiento detallamos a continuación: 1.-Solartime: Malware que modifica el sector de arranque, de modo que cuando Windows carga los controladores de los dispositivos de arranque, a la vez también carga y ejecuta el implante Wolcreek; 2.- Wolfcreek: Controlador de carga automática que, a su vez, puede cargar otros controladores y aplicaciones adicionales. De acuerdo con los documentos, esto crea fugas de memoria que posiblemente pueden detectarse en los equipos infectados; 3.-Keystone (llamado anteriormente MagicWand): componente responsable de iniciar otras aplicaciones maliciosas. Siempre se disfraza de C:\Windows\system32\svchost.exe y puede ser detectado en el administrador de tareas de Windows; 4.-BadMSF: es una biblioteca que implementa un sistema de archivos encubierto que se crea al final de la participación activa. AngelFire utiliza este componente para almacenar los demás. Todos los archivos se ofuscan y encriptan; 5.- Windows Transitory File system: componente alternativo a BadMSF para la instalación de AngelFire. En este caso, en lugar de guardar los archivos en un sistema oculto, emplea ficheros temporales para el sistema de almacenamiento. AngelFire Project se suma así a otros malwares de la CIA para Windows que Wikileaks ya ha destapado con anterioridad, entre ellos Grasshopper y AfterMidnight. Según el manual que ha publicado Wikileaks, AngelFire requiere permisos de administrador en el ordenador objetivo para instalarse correctamente, por lo que se requiere tener acceso físico al ordenador o conseguir acceso remoto con otra herramienta de hackeo como Athena. Es importante destacar que el hecho de que atacase a estos sistemas operativos no quiere decir que Windows 8 y 10 sean inmunes, sino que esta versión detallada por Wikileaks era del 2011, y por aquel entonces no existían las últimas versiones. A nadie deba extrañar que la CIA ya tenga herramientas en sus manos que aprovechen vulnerabilidades en estos sistemas … y Wikileaks los pondrá al descubierto antes de lo que se imaginan :)
Creative Commons License
Esta obra está bajo una Licencia de Creative Commons.