AngelFire: El malware de la CIA infecta el sector de arranque del sistema para hackear las PC de Windows

Un equipo de hackers de la CIA, la Agencia Central de Inteligencia, supuestamente utilizó una herramienta de hackeo de Windows contra sus objetivos para obtener acceso remoto persistente.

Como parte de sus fugas de la bóveda 7 , WikiLeaks reveló hoy los detalles sobre un nuevo implante desarrollado por la CIA, llamado AngelFire , para apuntar las computadoras que funcionaban sistema operativo de Windows.

El marco AngelFire implanta una puerta trasera persistente en las computadoras Windows de destino modificando su sector de inicio de partición.

AngelFire marco consta de cinco componentes siguientes:

1. Solartime : modifica el sector de arranque de partición para cargar y ejecutar el Wolfcreek (código del kernel) cada vez que arranca el sistema.

2. Wolfcreek – un controlador de autocarga (código del núcleo que Solartime ejecuta) que carga otros controladores y aplicaciones de modo de usuario

3. Keystone – un componente que utiliza la técnica de inyección de DLL para ejecutar las aplicaciones de usuario malintencionado directamente en la memoria del sistema sin dejarlas en el sistema de archivos.

4. BadMFS : un sistema de archivos encubierto que intenta instalarse en un espacio no particionado disponible en la computadora objetivo y almacena todos los controladores e implantes que Wolfcreek empieza.

5. Sistema de archivos transitorios de Windows : un nuevo método de instalación de AngelFire, que permite al operador de la CIA crear archivos transitorios para tareas específicas como agregar y quitar archivos a AngelFire, en lugar de colocar componentes independientes en el disco.

De acuerdo con un manual de usuario filtrado por WikiLeaks, AngelFire requiere privilegios administrativos en un equipo de destino para una instalación correcta.

La versión de 32 bits del implante funciona contra Windows XP y Windows 7, mientras que el implante de 64 bits puede dirigirse a Server 2008 R2, Windows 7.

Anterior Vault 7 CIA Fugas
La semana pasada, WikiLeaks publicó otro proyecto de la CIA, denominado ExpressLane , que detallaba el software de espionaje que los agentes de la CIA utilizaban para espiar a sus socios de inteligencia de todo el mundo, incluyendo el FBI, el DHS y la NSA.
Desde marzo, WikiLeaks ha publicado 22 lotes de la serie ” Vault 7 “, que incluye las fugas de última y última semana.
LEER  Assange: La NSA intercepta 98% de comunicaciones de Latinoamérica

0 comments on “AngelFire: El malware de la CIA infecta el sector de arranque del sistema para hackear las PC de WindowsAdd yours →

Deja un comentario