Wikileaks saca a la luz AngelFire, otro malware de la CIA para Windows

Share this…

Wikileaks ha publicado hoy una nueva oleada de documentos en el marco de #Vault7, la serie de filtraciones de información clasificada de la CIA que el portal de Julian Assange destapó el pasado mes de marzo.

En la nueva entrega, Wikileaks saca a la luz el proyecto AngelFire, un malware de la CIA para Windows que tiene la capacidad de cargar y ejecutar implantes personalizados que alteran el sector de arranque e instalan nuevos virus. El software malicioso afecta a las versiones de 32 y 64 bits de Windows XP y Windows 7, así como en versiones de 64 bits de Windows Server 2008 R2.

De acuerdo con el informe, Angelfire está formado por los cinco componentes, cuyo funcionamiento detallamos a continuación:

  • Solartime: malware que modifica el sector de arranque, de modo que cuando Windows carga los controladores de los dispositivos de arranque, a la vez también carga y ejecuta el implante Wolcreek.
  • Wolfcreek: controlador de carga automática que, a su vez, puede cargar otros controladores y aplicaciones adicionales. De acuerdo con los documentos, esto crea fugas de memoria que posiblemente pueden detectarse en los equipos infectados.
  • Keystone (llamado anteriormente MagicWand): componente responsable de iniciar otras aplicaciones maliciosas. Siempre se disfraza de C:\Windows\system32\svchost.exe y puede ser detectado en el administrador de tareas de Windows.
  •  BadMSF: es una biblioteca que implementa un sistema de archivos encubierto que se crea al final de la participación activa. AngelFire utiliza este componente para almacenar los demás. Todos los archivos se ofuscan y encriptan.
  • Windows Transitory File system: componente alternativo a BadMSF para la instalación de AngelFire. En este caso, en lugar de guardar los archivos en un sistema oculto, emplea ficheros temporales para el sistema de almacenamiento.

El proyecto AngelFire se suma a otros malwares de la CIA para Windows que Wikileaks ya ha destapado con anterioridad, entre ellos Grasshopper y AfterMidnight. Eso sí, recordemos que la Agencia Central de Inteligencia estadounidense no ha confirmado que los documentos sean reales, por lo que no podemos afirmar que los malwares descritos hayan sido creados por este organismo.

De momento esto es toda la información que el portal de Assange ha filtrado hoy, y es posible que la próxima semana tengamos una nueva entrega. Si quieres rememorar las revelaciones de #Vault7, puedes echar un vistazo a las filtraciones anteriores en este enlace.

Fuente:https://computerhoy.com/noticias/software/wikileaks-saca-luz-angelfire-otro-malware-cia-windows-67295