WIKILEAKS SACA A LA LUZ "ANGELFIRE" OTRO MALWARE DE LA CIA PARA WINDOWS

Wikileaks ha publicado hoy una nueva oleada de documentos en el marco de #Vault7, la serie de filtraciones de información clasificada de la CIA que el portal de Julian Assange destapó el pasado mes de marzo.

En la nueva entrega, Wikileaks saca a la luz el proyecto AngelFire, un malware de la CIA para Windows que tiene la capacidad de cargar y ejecutar implantes personalizados que alteran el sector de arranque e instalan nuevos virus. El software malicioso afecta a las versiones de 32 y 64 bits de Windows XP y Windows 7, así como en versiones de 64 bits de Windows Server 2008 R2.

De acuerdo con el informe, Angelfire está formado por los cinco componentes, cuyo funcionamiento detallamos a continuación:

Solartime: malware que modifica el sector de arranque, de modo que cuando Windows carga los controladores de los dispositivos de arranque, a la vez también carga y ejecuta el implante Wolcreek.

Wolfcreek: controlador de carga automática que, a su vez, puede cargar otros controladores y aplicaciones adicionales. De acuerdo con los documentos, esto crea fugas de memoria que posiblemente pueden detectarse en los equipos infectados.

Keystone (llamado anteriormente MagicWand): componente responsable de iniciar otras aplicaciones maliciosas. Siempre se disfraza de C:\Windows\system32\svchost.exe y puede ser detectado en el administrador de tareas de Windows.

 BadMSF: es una biblioteca que implementa un sistema de archivos encubierto que se crea al final de la participación activa. AngelFire utiliza este componente para almacenar los demás. Todos los archivos se ofuscan y encriptan.

Windows Transitory File system: componente alternativo a BadMSF para la instalación de AngelFire. En este caso, en lugar de guardar los archivos en un sistema oculto, emplea ficheros temporales para el sistema de almacenamiento.

El proyecto AngelFire se suma a otros malwares de la CIA para Windows que Wikileaks ya ha destapado con anterioridad, entre ellos Grasshopper y AfterMidnight. Eso sí, recordemos que la Agencia Central de Inteligencia estadounidense no ha confirmado que los documentos sean reales, por lo que no podemos afirmar que los malwares descritos hayan sido creados por este organismo.

Como podemos apreciar las continuas amenazas con este tipo de Malware pone en alerta a las autoridades de los Estados Unidos ya que son constantes este tipo de ataque. Pero ninguna otra nación del mundo esta libre de ser víctima de un ciberataque. Estoy seguro que en los próximos días veremos noticias y sabremos a través del monitoreo constante que hacemos, de las nuevas amenazas que sumergirán a la Internet en un verdadero caos.

Abg. Carlos Tudares T.

CEO Observatorio Venezolano de Delitos Informáticos