miniFlame: el módulo de Flame resulta ser malware

Ya en septiembre, expertos de Kaspersky revelaron que la infame amenaza conocida como Flame tenía por lo menos otros tres hermanos: SP, SPE e IP. Inicialmente, los investigadores creían que SPE – apodado miniFlame – era un módulo de Flame, pero la investigación ha revelado que en realidad es un malware independiente.

miniFlame no está tan extendido como su hermano mayor, el número de víctimas registradas son 100 veces menos. Sin embargo, los expertos han descubierto que a pesar de que el número de objetivos sea pequeño, las víctimas más probables son las organizaciones de alto perfil.

El objetivo principal del malware es el de actuar como una puerta trasera en los sistemas infectados para permitir a su mastermind (su cerebrito) tomar el control de un dispositivo.

SPE se desarrolló al mismo tiempo que Flame y Gauss (2010-2011), lo que podría explicar por qué las dos piezas de malware utilizaban miniFlame como módulo.

Se desconoce el vector de infección, pero a diferencia de Gauss, miniFlame implementa una completa client/server backdoor que permite a su dueño acceder directamente al sistema afectado.

Curiosamente, el mando y el código de control del servidor de Flame no contiene un módulo para controlar los clientes SPE, lo que podría significar que el elemento malicioso tiene (o tenía) sus propios servidores.

Otro aspecto a destacar es que el otro hermano, SP, en realidad podría ser una versión anterior de SPE.

El descubrimiento de miniFlame no sólo refuerza la teoría de una conexión entre los equipos que desarrollaron Gauss y Flame, sino que también demuestra que los cibercriminales podrían haber planeado sus operaciones para ascender a la cresta de la ola.

Puedes consultar el documento técnico completo sobre miniFlame aquí.

FUENTE: SECURELIST