La compañía con sede en Moscú ha anunciado el descubrimiento de miniFlame, un código malicioso identificado, originalmente, como un módulo de Flame, pero tras un análisis de los servidores de comando y control (C&C) de esta amenaza, los expertos de la firma concluyeron que el módulo es una herramienta capaz de utilizarse como un malware independiente o un plug-in para Flame y Gauss.
El análisis compañía rusa señala que hubo varias versiones del código creadas entre 2010 y 2011miniFlame, con algunas variantes aún activas.
La investigación, además, revela nuevas pruebas de la cooperación entre los creadores de Flame y Gauss, ya que ambos programas maliciosos pueden utilizar miniFlame como un "plug-in" para sus operaciones.
El malware, también conocido como SPE, se basa en la misma arquitectura de Flame y funciona como un backdoor diseñado para el robo de datos y el acceso directo a los sistemas infectados.
De acuerdo con el fabricante, el desarrollo de miniFlame podría haber comenzado en 2007 y continuó hasta el final de 2011.
Hasta la fecha, Kaspersky ha identificado seis variantes, que abarcan dos generaciones principales: 4.x y 5.x.
A diferencia de Flamer o de Gauss, que tenían alto número de infecciones, la cantidad de equipos contaminados por miniFlame es mucho menor.
Según los datos de la compañía, el número de infecciones se encuentra entre 10 y 20 máquinas, siendo el número total de infecciones en todo el mundo estimado entre 50 y 60.
El número de infecciones y sus características de robo de información y de diseño indican que se utilizó para operaciones muy específicas de espionaje cibernético y, probablemente, fue desplegado en el interior de las máquinas que ya estaban infectadas por Flame o Gauss.
Otros detalles del malware incluyen su capacidad para hacer capturas de pantalla de una computadora infectada mientras se está ejecutando un programa específico o aplicaciones tales como un navegador web, el programa de Microsoft Office, Adobe Reader, el servicio de mensajería instantánea, o un cliente FTP.
Los datos robados se envían mediante la conexión a su servidor de C&C, que puede ser único, o "compartido" con Flame).
Por último, a petición del operador, un módulo adicional de robo puede ser activarse para infectar las unidades USB y utilizarlas para almacenar datos de las máquinas sin conexión a internet.
