Julio López
está desaparecido
hace 6392 días
versión para imprimir - envía este articulo por e-mail

WikiLeaks desvela más malware de la CIA: AfterMidnight y Assassin
Por blog.elhacker.net - Friday, May. 26, 2017 at 8:41 PM

14 de mayo de 2017 / El portal WikiLeaks ha publicado este viernes otra tanda de documentos confidenciales de la CIA, revelando la información sobre dos 'software' maliciosos conocidos como 'AfterMidnight' ('Después de medianoche') y 'Assassin' ('Asesino'). Esta publicación forma parte de la filtración a gran escala de archivos sobre armas cibernéticas de la CIA denominada 'Vault 7'.

"AfterMidnight" permite a los operadores cargar y ejecutar cargas útiles de malware en un equipo de destino de forma dinámica. "Assassin" es un tipo similar de malware; es un implante automatizado que proporciona una plataforma de recogida sencilla en equipos remotos que ejecutan el sistema operativo Microsoft Windows.

"AfterMidnight" permite a los operadores cargar dinámicamente y ejecutar cargas de malware en una máquina de destino. El controlador principal se disfraza como DLL de servicio de Windows persistente y proporciona ejecución segura de "Gremlins" a través de un sistema de Listening Post (LP) basado en HTTPS llamado "Octopus". Una vez instalado en una máquina de destino AM volverá a llamar a un LP configurado en una programación configurable, comprobando si hay un nuevo plan para ejecutarlo. Si lo hay, descarga y almacena todos los componentes necesarios antes de cargar todos los nuevos gremlins en la memoria. "Gremlins" son pequeñas cargas AM que están destinadas a ejecutarse ocultas en el objetivo y subvertir la funcionalidad de software orientado, encuesta de la meta (incluida la exfiltración de datos) o proporcionar servicios internos para otros gremlins. La carga útil especial "AlphaGremlin" incluso tiene un lenguaje de script personalizado que permite a los operadores programar tareas personalizadas para ejecutarse en la máquina de destino.

"Assassin" es un tipo similar de malware; Es un implante automatizado que proporciona una plataforma de recolección simple en equipos remotos que ejecutan el sistema operativo Microsoft Windows. Una vez que la herramienta se instala en el objetivo, el implante se ejecuta dentro de un proceso de servicio de Windows. "Assassin" (al igual que "AfterMidnight"), entonces periódicamente beacon a sus puestos de escucha configurado para solicitar tareas y entregar resultados. La comunicación se produce sobre uno o más protocolos de transporte configurados antes o durante la implementación. Los subsistemas "Assassin" C2 (Comando y Control) y LP (Listening Post) se denominan colectivamente "The Gibson" y permiten a los operadores realizar tareas específicas en un objetivo infectado.

Más información detallada:
http://www.reddit.com/r/WikiLeaks/comments/6auulj/wikileaks_vault_7_part_ix_aftermidnight/

fuente http://blog.elhacker.net/2017/05/wikileaks-desvela-mas-malware-de-la-cia-AfterMidnight-Assassin.html

agrega un comentario