MADRID, 9 (Portaltic/EP)
Investigadores de Chronicle Security, compañía de ciberseguridad de Alphabet, han descubierto una nueva versión del 'malware' de espionaje Flame, desaparecido en 2012, además de una nueva conexión de la amenaza Stuxnet, creada en 2007, con otra familia de 'malware' conocida como Flowershop, gracias a una herramienta de seguridad llamada YARA.
El descubrimiento de estas nuevas versiones de 'malwares' ha sido posible gracias a las nuevas herramientas y técnicas de investigación que solo han estado disponibles para los investigadores en los últimos años, como informan en Motherhood.
Flame, por un lado, fue la primera plataforma de espionaje modular descubierta, que atacó a usuarios de países del norte de África y Oriente Próximo. En los equipos que infectaba, era capaz de encender el micrófono interno para grabar conversaciones, y mediante la conectividad Bluetooth, localizaba otros dispositivos cercanos, como smartphones, de los que sustría la agenda de contactos.
Este 'malware' se cree, como señalan desde el medio citado, que fue creado en Israel. Sus responsables fueron capaces de engañar a Microsoft para que les emitiera un certificado legítimo, que usaron para firmar sus archivos maliciosos. Tras lo cual subvirtieron el mecanismo de actualización de Windows, a través del cual Microsoft distribuye parches y actualizaciones de 'software', y consiguieron entregar esos archivos maliciosos a las víctimas seleccionadas.
Los atacantes simularon la muerte de Flame en mayo de 2012. Sin embargo, los investigadores de Chronicle han descubierto que los desarrolladores detrás de este 'malware' han usado un cifrado más fuerte para crear esta nueva versión de Flame, que hasta ahora no han podido descifrar, por lo que aún no se sabe qué puede hacer esta nueva versión.
Por otro lado, Chronicle Security descubrió que Stuxnet, un virus creado por Estados Unidos e Israel para sabotear el programa nuclear de Irán en 2007, tiene conexiones con otra familia de 'malware' conocida como Flowershop, explica Motherhood. Flowershop fue una amenaza activa desde 2002 a 2013 que atacó a víctimas en Oriente Próximo.
La conexión entre estos dos virus ha sido llamada por los investigadores Stuxshop, por las similitudes de código que se encontraron en ambos programas maliciosos. El código compartido se usaba para determinar qué versión del sistema operativo Windows se estaba ejecutando en una máquina infectada, y si el sistema estaba configurado con ajustes de proxy de Internet, y buscaba la presencia de un valor específico en la clave de registro del dispositivo invadido.
Motherhood señala que estos descubrimientos han sido posibles gracias a la creación de nuevas herramientas y técnicas de investigación que solo han estado disponibles en los últimos años, entre los que destaca YARA, una herramienta diseñada por un investigador de seguridad español en 2007.
YARA permite crear reglas o parámetros de búsqueda que escanean redes completas en busca de actividad de códigos maliciosos para detectar si estos códigos han sido reutilizados por nuevas familias de 'malware'.
Por su parte, uno de los investigadores de seguridad de Chronicle que hizo el descubrimiento, Juan-Andrés Guerrero-Saade, ha asegurado a Motherhood que todavía hay muchos misterios en torno a Flame y Stuxshop, aunque ha expresado su esperanza en que estos descubrimientos alienten a otros investigadores a reexaminar las amenazas antiguas con las nuevas herramientas que ahora están disponibles.