Hace dos semanas la compañía rusa Kaspersky Lab descubrió un malware muy sofisticado y complejo llamado “Flame”, el cual se descubrió infectando sistemas en países como Irán, el Líbano, Sudan, Siria y mas países del medio oriente y alrededores.
Según la compañía rusa Kaspersky Lab este es un malware muy complejo e inteligente, ya que es muy difícil la detección de este malware, la función que tiene Flame es la siguiente: Al infectar un ordenador, este roba todos los datos que se encuentran en el, así como secuencias de tecleado, conversaciones grabadas, documentos varios y hasta es capas de encender el micrófono de la computadora para así poder escuchar y o grabar conversaciones.
Flame pesa alrededor de 20 MB, lo cual lo hace uno de los malwares más pesados que existen actualmente, este contiene varios niveles de cifrado, una maquina virtual LUA, mas de 20 plugins que pueden ser intercambiados por los atacantes para su beneficio y además, bases de datos SQLite3 y múltiples bibliotecas.
Según la compañía rusa que descubrió este malware, Flame no es un malware diseñado para las actividades normales como el robo de cuentas bancarias, robo de dinero u otros datos para realizar fraudes, sino que este por el comportamiento que muestra, se cree que es otra herramienta mas para la ciberguerra, el cual pudo haber sido encargado por un Estado.
Como anteriormente lo mencionamos, el malware Flame pude encender el micrófono del equipo infectado para grabar la conversación que se sostiene, pero esto no es todo lo que puede hacer el malware, sino que aparte de esto, las envía a través de Skype. Estas conversaciones son grabadas y enviadas a los servidores que tiene programado este malware. Otra función interesante es que cuenta con un modulo de Bluetooth, el cual usa para detectar equipos como celulares o tablets y robar nombres y números de contactos de este.
Además esto no acaba aquí, sino que también toma pantallazos de los equipos infectados constantemente, y más cuando el usuario se encuentra en aplicaciones como “Chat o Mensajería”
Flame Aprovecha una Vulnerabilidad ante Microsoft Windows Update para Expandirse
Flame estaba aprovechando una vulnerabilidad en los certificados digitales de Microsoft para poder expandirse, ya que este Malware inteligente, dentro de sus tantos plugins cuenta con 3 que son esenciales para este proceso, los cuales se llaman Snack, Gadget y Munch, los cuales se encargan de secuestrar a Windows Update y redirigir al usuario a descargar completamente el Malware.
El proceso de infección se realiza de este modo:
Cuando realizábamos una actualización mediante el Windows Update, el malware Flame interceptaba este proceso y lo redirigía a otra dirección, para que el usuario pudiera descargar completamente el malware, a este tipo de ataques se les llama “man in the middle”.
Actualmente Microsoft libero un parche parar que este malware no se siga propagando o siga aprovechándose de la vulnerabilidad que presenta el Windows Update, pero este parche no da solución a quienes ya se encuentran infectados, aunque es una buena solución para todos aquellos que todavía no hemos sido infectados.
Fuentes: Microsoft Security Advisory | The Verge | Fayerwayer.com