WikiLeaks публикуваха документи за пет нови малуера, използвани от ЦРУ за контролиране на различни устройства.
Новите документи разкриват сътрудничество между ЦРУ и Raytheon Blackbird Technologies, които са помагали при разработването на зловредните инструменти.
Документите са изпратени ат Raytheon на ЦРУ на 21-и ноември 2014 и 11-и септември 2015-а година и съдържат данни за пет малуера NfLog, Reign, HTTPBrowser RAT, Gamker и HammerToss.
NfLog, познат още като IsSpace, е малуер, който се инсталира на машината на жертвата, посредством изтеклия от Hacking Team експлойт за Adobe Flash Player, който използва уязвимостта CVE 2015-5122.
Чрез използване на техника за заобикаляне на User Accaunt Control (UAC), той придобива повишени администраторски права при Windows. За свързване с команден C&C сървър NfLog използва Google App Engine.
Reign е сложен малуер, който се използва от 2008-а година насам. Той има модуларна архитектура, която дава гъвкавост на атакуващите. Атаката е разделена на пет етапа, като последният осигурява зареждане на портове, достъп до системата и мрежата, запис на събития, рууткит функции и други.
Reign също така притежава способността да бъде засичан от антивирусни продукти, което го прави особено опасен.
HTTPBrowser RAT представлява инструмент за отдалечен достъп (Remote Access Tool (RAT)), който се състои от ZIP архив, в който се съдържат три файла. HTTPBrowser RAT действа като кийлогър, записващ натисканите клавиши и ги запазва в текстови файл, постоянно комуникирайки с команден C&C сървър.
Gamker е троянец за кражба на информация и използва self-code инжектиране, което осигурява това, че никаква информация няма да бъде записана по диска, като по този начин се прикриват присъствието му и действията му.
HammerToss е написан на C# и пробива акаунтии в GitHub, Twitter и други уебсайтове. HammerToss използва специална програма за създаване на нови Twitter акаунти, използвайки ги за изпълняване на команди и достъп до потребителски данни, качени от жертвите.
