El secreto de Flame reside en su mtodo de infeccin va USB

Desde los legendarios das de las cintas de datos y los discos flexibles, los virus han utilizado los dispositivos de almacenamiento mviles para desperdigarse entre ordenadores o, ms correctamente, han utilizado los ordenadores para invadir los dispositivos de storage El ataque de Flame, sin embargo lleva este tipo de infeccin a un nuevo nivel. En los anlisis que se han realizado sobre este nuevo y daino tipo de ataque, la firma de seguridad BitDefender ha destacado un componente de Flame que utiliza medios de storage, como portador de los datos fuera de instalaciones seguras. En ordenadores no conectados a Internet, Flame espera hasta que se inserta un dispositivo USB. Es en ese momento cuando comienza a copiarse, no slo a s mismo, aunque s de forma primordial, sino tambin una lista priorizada de documentos y datos robados. Mientras que los empleados deshonestos han venido sacando frecuentemente los datos sensibles con medios fsicos de almacenamiento, sta puede ser la primera vez en que el uso de un malware utiliza a trabajadores desapercibidos, como mulas de informacin, explica Bogdan Botezatu, analista senior de amenazas en la firma rumana de seguridad BitDefender. Este escenario es curioso, no hemos visto nada parecido antes, asegura. El dispositivo USB no es tanto una ventana abierta hacia el malware, sino una mula de informacin. Se emplea, sobre todo, como sistema de storage central de datos en un entorno protegido. El trmino mula se adopta de las prcticas de trfico de drogas; gente que transporta ilegalmente sustancias entre fronteras. En el mundo del ciber-crimen, la gente que, de

forma inadvertida, utiliza credenciales falsas para robar dinero y entonces lo enva al responsable de una organizacin ilegal, tambin se denominan as. En el caso de Flame, los autores esperaban conseguir sacar la informacin de ordenadores seguros y que no tienen acceso a Internet, con este mismo sistema, asegura Botezatu. Como este trozo de malware ha sido diseado para espiar ordenadores situados en entornos industriales, los atacantes esperaban que el malware encontrara algunas restricciones y polticas de seguridad de refuerzo para blindar el permetro de red protegido, seala el experto en un site de BitDefender. Como los ordenadores infectados con Flame no se conectan a Internet, se ha buscado infectar cualquier dispositivo USB conectado al sistema. Una vez hecho, el malware comienza a copiar archivos desde el sistema al dispositivo extrable, dando especial prioridad a documentos Word, Excel y PowerPoint. Si el dispositivo tiene suficiente espacio, copiar tambin archivos CAD y, al final, tambin JPEGs. Cuando el dispositivo infectado se inserta en otro ordenador, esparce el virus, aunque esta funcionalidad parece estar inactiva. En vez de eso, el programa intentar conectarse a Internet slo sobre sistemas ya infectados. Si Flame no puede comunicarse con servidores Command-and-Control, volver a copiar archivos, limpiando documentos de baja prioridad para dejar espacio adicional. Si el nuevo sistema puede conectar con este servidor, entonces Flame copiar los contenidos del USB al ordenador y su tarea estar completada. Lo realmente importante es que Flame no almacenar documentos robados hasta que est seguro de que el stick de memoria concreto ha sido conectado a un sistema con acceso a Internet o, para ser ms preciso, a un sistema que ha logrado contactar con servidores C&C, concluye Botezatu