Malware utiliza el servicio BITS de Windows para filtrar datos de forma sigilosa

  • 0 Respuestas
  • 471 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Dragora

  • *
  • Moderador Global
  • Mensajes: 955
  • País: gt
  • Actividad:
    100%
  • Reputación 15
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil


Los investigadores de ciberseguridad han descubierto un nuevo virus informático asociado con el grupo de espionaje cibernético patrocinado por el estado Stealth Falcon que abusa de un componente integrado del sistema operativo Microsoft Windows para filtrar sigilosamente los datos robados al servidor controlado por el atacante.

Activo desde 2012, Stealth Falcon es un grupo de piratería sofisticado conocido por atacar a periodistas, activistas y disidentes con spyware en el Medio Oriente, principalmente en los Emiratos Árabes Unidos (EAU).

Apodado Win32 / StealthFalcon , llamado así por el grupo de piratería, el malware se comunica y envía los datos recopilados a sus servidores remotos de comando y control (C&C) utilizando el Servicio de transferencia inteligente en segundo plano de Windows (BITS).

BITS es un protocolo de comunicación en Windows que utiliza el ancho de banda de red no utilizado para facilitar la transferencia asíncrona, priorizada y acelerada de archivos entre máquinas en primer plano o en segundo plano, sin afectar la experiencia de la red.

BITS es comúnmente utilizado por los actualizadores de software, incluida la descarga de archivos de los servidores o pares de Microsoft para instalar actualizaciones en Windows 10, mensajeros y otras aplicaciones diseñadas para operar en segundo plano.

Según los investigadores de seguridad de la empresa de seguridad cibernética ESET, dado que las tareas BITS son más probables permitidas por los firewalls basados ​​en host y la funcionalidad ajusta automáticamente la velocidad de transferencia de datos, permite que el malware opere sigilosamente en segundo plano sin levantar ninguna señal de alerta.

"En comparación con la comunicación tradicional a través de funciones API, el mecanismo BITS está expuesto a través de una interfaz COM y, por lo tanto, es más difícil de detectar para un producto de seguridad", dicen los investigadores en un informe publicado hoy.

"La transferencia se reanuda automáticamente después de ser interrumpida por razones como una interrupción de la red, el cierre de sesión del usuario o un reinicio del sistema".

Además de esto, en lugar de filtrar los datos recopilados en texto plano, el malware primero crea una copia encriptada y luego carga la copia al servidor C&C a través del protocolo BITS.

Después de extraer con éxito los datos robados, el malware elimina automáticamente todos los archivos de registro y recopilados después de reescribirlos con datos aleatorios para evitar el análisis forense y la recuperación de los datos eliminados.

Como se explica en el informe, la puerta trasera Win32 / StealthFalcon no solo ha sido diseñada para robar datos de los sistemas comprometidos, sino que también puede ser utilizada por los atacantes para desplegar más herramientas maliciosas y actualizar su configuración enviando comandos a través del servidor C&C.

"La puerta trasera Win32 / StealthFalcon, que parece haber sido creada en 2015, permite al atacante controlar la computadora comprometida de forma remota. Hemos visto un pequeño número de objetivos en EAU, Arabia Saudita, Tailandia y los Países Bajos; en este último caso , el objetivo era una misión diplomática de un país del Medio Oriente ", dicen los investigadores.

Según los investigadores, este malware recientemente descubierto comparte sus servidores C&C y su base de código con una puerta trasera basada en PowerShell atribuida al grupo Stealth Falcon y rastreada por Citizen Lab en 2016.


Vía: https://thehackernews.com

 

"Estar preparados para la ciberguerra"

Iniciado por graphixx

Respuestas: 0
Vistas: 2752
Último mensaje Febrero 16, 2016, 08:03:52 pm
por graphixx
GOOGLE ASSISTANT | El asistente personal para Android de Google

Iniciado por CNait

Respuestas: 1
Vistas: 2986
Último mensaje Noviembre 07, 2016, 04:26:11 am
por Stiuvert
Chrome Dev Editor, el IDE de Google para programar desde Chrome

Iniciado por Flemon

Respuestas: 0
Vistas: 3097
Último mensaje Julio 27, 2014, 12:45:58 pm
por Flemon
EK presenta sus bloques full cover para las AMD RX 5700 y RX 5700 XT con D-RGB

Iniciado por Dragora

Respuestas: 0
Vistas: 168
Último mensaje Noviembre 13, 2019, 11:08:32 am
por Dragora
WhatsApp limita el reenvío de mensajes para combatir el "spam" y fake news

Iniciado por Ascendock

Respuestas: 0
Vistas: 1910
Último mensaje Julio 28, 2018, 12:04:00 am
por Ascendock