AfterMidnight e Assassin, questi i due software malevoli rilasciati il 12 maggio da WikiLeaks. Una notizia rimasta in secondo piano, a seguito dell’ondata WannaCry, avvenuta in contemporanea. I software in questione fanno parte della nota serie Vault 7, con la quale l’organizzazione ha diffuso la documentazione relativa ai tool ed exploit realizzati dalla CIA.
La notizia riguarda cinque documenti in cui vengono spiegate le modalità di caricamento ed esecuzione dei due malware, nati con lo scopo di monitorare ogni azione degli utenti sui pc infetti.
AfterMidnigth è un framework che consente di caricare ed eseguire codice sul client della vittima. Mascherato da servizio DLL (Dynamic Link Library) Windows persistente, offre un’esecuzione sicura di payload chiamati “Gremlins“. Questi payload sono in grado di agire sulle funzionalità di processi esistenti, raccogliere dati o fornire servizi interni e funzionalità per altri Gremlins. Tra questi payload uno in particolare, l’ AlphaGremlin, contiene un linguaggio di script personalizzato che consente di pianificare attività su misura da eseguire sul pc vittima.
L’unica pecca di AfterMidnight è la necessità di avere costantemente accesso ad internet per il suo funzionamento. Questo perché il malware utilizza una porzione di memoria locale cifrata, la cui chiave non risiede sulla macchina. Inoltre se il software malevolo non raggiunge l’LP non è in grado di eseguire i Gremlins.
Il secondo malware, Assassin, è una piattaforma automatizzata atta a raccogliere dati su macchine con sistema operativo Windows. Una volta installato, il tool viene eseguito come un semplice servizio, in maniera molto simile a una backdoor trojan.
Il software si compone di quattro sottosistemi: Implant, Builder, Command and Control e una Listening Post.
L’Implant implementa la logica e le funzionalità del tool, incluse le funzionalità di comunicazioni e gestione dei lavori. È configurato usando il Builder tramite riga di comando personalizzata.
Il sottosistema Command & Control agisce da interfaccia tra l’operatore e il Listening Post (LP) mentre l’LP permette all’Assassin Implant di comunicare con il sottosistema C&C attraverso un Web server.
Come illustrato nel manuale d’uso, Assassin usa un cifrario a flusso RC4 modificato per cifrare ogni dato che viene inviato o salvato sul file system target, la cui chiave non è salvata sulla macchina infettata.
Il vettore di infezione non è stato ancora rivelato, ma si suppone che il malware sfrutti qualche vulnerabilità di sistema, proprio come WannaCry che usa l’exploit di SMB rilasciato dagli Shadow Brokers.