– root@injetionsec:~#

flame super malware de 2012

03.11.2013 (5:08 pm) – Filed under: Noticias,Worm ::

Esse worm exploiu em maio de 2012 conhecido como Flame ou sKyWIper com alvos no oriente medio e assim como os worms Stuxnet e Duqu

O flame ao  de ser apenas um típico worm, e um kit de ferramentas de ataque cuidadosamente elaborado por espionagem industrial ou política,e  muito mais complexo do que Duqu,sendo um backdoor, cavalo de tróia, e com caracteristicas de um worm permitindo se expalhar em uma rede local e em mídia removível.

Enquanto um worm típico é de 50 Kbytes o flame tem  20 Mbytes, cerca de 400 vezes maior.

A razão para ter esse tamanho é que o flame é um conjunto de ferramentas multi-funcional para roubar informações e  assim reconfigurar para seus donos.

sKyWIper  ou Flame tem uma funcionalidade muito avançada para roubar informações e  se propagar. Vários exploits e métodos de propagação podem ser configurado livremente pelos atacantes. Ele abrange todas as principais possibilidades de reunir inteligência, incluindo teclado, tela, microfone, dispositivos de armazenamento, rede wi-fi, Bluetooth, USB e processos do sistema.

E um malware no sentido de poder interceptar tudo que se possa imaginar,como Stuxnet, tem vários vetores de propagação – chaves USB, compartilhamento de impressoras, e o direitos de controle dos domínios veja um esboço abaixo:

0007

Sua arquitetura modular permite que seus criadores mudem as funcionalidade e o comportamento a qualquer momento. Ele também permite que os seus operadores usem uma linguagem de script sofisticada chamada Lua para gerenciar suas atividades. Além disso, suas técnicas de injeção de código são bastante surpreendentes. 

Quem o criou !

Provavelmente não é ainda um projeto de crime organizado. Todos os relatórios das empresas de anti-vírus analisando do flame indicam que ele foi criado por uma equipe de profissionais bem financiado de desenvolvedores.

O que chama tem a ver com SCADA e ICS de Segurança?

O flame é claramente um ladrão de informações. Não há nenhuma evidência de que tem módulos para explorar  SCADA ou ICS, a Symantec e outros relatam que a flame parece ser o mesmo worm que o Ministério do Petróleo do Irã informou estava afetando suas instalações no Kharg Ilha.

Mas a má notícia é que este worm indica claramente que a indústria, especialmente a indústria energética, é agora um alvo-chave em um mundo cada vez mais crescente de sofisticados, o governo de malware patrocinado.