Wikileaks publica otro malware de la CIA: afterMidnight y Assassing

4
1742
views

Wikileaks como todos los viernes, ha publicado más material relacionado a vault 7.  A revelado 2 softwares maliciosos con el nombre clave de  ‘AfterMidnight’ (‘Después de medianoche’) y ‘Assassin’ (‘Asesino’).

AfterMidnight” y “Assassin”, son dos frameworks de malware de la CIA para la plataforma Microsoft Windows.

Funcionamiento de estos malwares de la CIA

“AfterMidnight” permite a los operadores cargar y ejecutar cargas útiles de malware en un equipo de destino de forma dinámica. “Assassin” es un tipo similar de malware; es un implante automatizado que proporciona una plataforma de recogida sencilla en equipos remotos que ejecutan el sistema operativo Microsoft Windows.

“AfterMidnight” permite a los operadores cargar dinámicamente y ejecutar cargas de malware en una máquina de destino. El controlador principal se disfraza como DLL de servicio de Windows persistente y proporciona ejecución segura de “Gremlins” a través de un sistema de Listening Post (LP) basado en HTTPS llamado “Octopus”. Una vez instalado en una máquina de destino AM volverá a llamar a un LP configurado en una programación configurable, comprobando si hay un nuevo plan para ejecutarlo. Si lo hay, descarga y almacena todos los componentes necesarios antes de cargar todos los nuevos gremlins en la memoria. “Gremlins” son pequeñas cargas AM que están destinadas a ejecutarse ocultas en el objetivo y subvertir la funcionalidad de software orientado, encuesta de la meta (incluida la exfiltración de datos) o proporcionar servicios internos para otros gremlins. La carga útil especial “AlphaGremlin” incluso tiene un lenguaje de script personalizado que permite a los operadores programar tareas personalizadas para ejecutarse en la máquina de destino.

“Assassin” es un tipo similar de malware; Es un implante automatizado que proporciona una plataforma de recolección simple en equipos remotos que ejecutan el sistema operativo Microsoft Windows. Una vez que la herramienta se instala en el objetivo, el implante se ejecuta dentro de un proceso de servicio de Windows. “Assassin” (al igual que “AfterMidnight”), entonces periódicamente beacon a sus puestos de escucha configurado para solicitar tareas y entregar resultados. La comunicación se produce sobre uno o más protocolos de transporte configurados antes o durante la implementación. Los subsistemas “Assassin” C2 (Comando y Control) y LP (Listening Post) se denominan colectivamente “The Gibson” y permiten a los operadores realizar tareas específicas en un objetivo infectado.

 

vía

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop