(https://heavyeditorial.files.wordpress.com/2017/03/screen-shot-2017-03-06-at-8-22-47-pm.jpg?quality=65&strip=all&strip=all)
WikiLeaks publicó un nuevo lote de información de la CIA, detallando dos aparentes frameworks de malware desarrollados por la "Compañia"y para la plataforma Microsoft Windows. Este lote es el octavo lanzamiento de la serie Vault 7.
AfterMidnightApodado "AfterMidnight (https://wikileaks.org/vault7/#AfterMidnight)" y "Assassin", ambos programas de malware están diseñados para supervisar y reportar acciones en un equipo remoto infectado y ejecutar acciones malintencionadas especificadas por la CIA.
(https://3.bp.blogspot.com/-Iq7zB-qlt3Q/WRljwza9sII/AAAAAAAAspw/CC1WWqPK0_QsPyXJbZhQDXxCeYBffF4VACLcB/s1600/aftermidnight-malware.png)
Según WikiLeaks, AfterMidnight permite a sus operadores ejecutar malware en un sistema remoto. El controlador principal se disfrazada como un archivo dinámico de Windows (DLL) y ejecuta "Gremlins", que son pequeños payload que permanecen ocultos y prestan diversos "servicios" a otros Gremlins.
Una vez instalado en una máquina, AfterMidnight utiliza un sistema llamado "Octupus" HTTPS-based Listening Post (LP) para comprobar si hay eventos programados. Si se encuentra uno, el malware descarga y almacena todos los componentes necesarios y los nuevos Gremlins en memoria.
De acuerdo con la guía de usuario (https://wikileaks.org/vault7/document/AfterMidnight_v1_0_Users_Guide/), el almacenamiento local relacionado con AfterMidnight se cifra con una clave que no se almacena en la máquina destino. Un payload especial, llamado "AlphaGremlin", contiene un lenguaje de script personalizado que permite a los operadores programar tareas personalizadas para ejecutar en el sistema infectado.
AssassinAssassin es similar a AfterMidnight y se describe como "un implante automatizado que proporciona una plataforma de recolección de información en equipos remotos que se ejecuta el sistema operativo Microsoft Windows".
Una vez instalado, esta herramienta ejecuta un implante dentro de un proceso de servicio de Windows, permitiendo a los operadores realizar tareas maliciosas en la máquina infectada.
Assassin consta de cuatro subsistemas: Builder, Implant, Command & Control, y ListeningPost (LP).
El "Implante" proporciona la lógica y la funcionalidad básicas de esta herramienta en una máquina Windows víctima, incluidas las comunicaciones y la ejecución de tareas. Se configura mediante el Builder y se despliega en un equipo de destino a través de algún vector no definido.
El "Builder" permite configurar el Implante antes de la implementación y proporciona una interfaz de línea de comandos personalizada para establecer su configuración.
El subsistema "Comando & Control" actúa como una interfaz entre el operador y el Listening Post (LP), mientras que este LP permite al Implante comunicarse con el subsistema de comando y control a través de un servidor web.
Fuente: blog.segu-info.com.ar
Un muy mal año para Microsoft Windows hasta los momentos...