Malware utiliza el servicio BITS de Windows para filtrar datos de forma sigilosa

Iniciado por Dragora, Septiembre 09, 2019, 12:23:19 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



Los investigadores de ciberseguridad han descubierto un nuevo virus informático asociado con el grupo de espionaje cibernético patrocinado por el estado Stealth Falcon que abusa de un componente integrado del sistema operativo Microsoft Windows para filtrar sigilosamente los datos robados al servidor controlado por el atacante.

Activo desde 2012, Stealth Falcon es un grupo de piratería sofisticado conocido por atacar a periodistas, activistas y disidentes con spyware en el Medio Oriente, principalmente en los Emiratos Árabes Unidos (EAU).

Apodado Win32 / StealthFalcon , llamado así por el grupo de piratería, el malware se comunica y envía los datos recopilados a sus servidores remotos de comando y control (C&C) utilizando el Servicio de transferencia inteligente en segundo plano de Windows (BITS).

BITS es un protocolo de comunicación en Windows que utiliza el ancho de banda de red no utilizado para facilitar la transferencia asíncrona, priorizada y acelerada de archivos entre máquinas en primer plano o en segundo plano, sin afectar la experiencia de la red.

BITS es comúnmente utilizado por los actualizadores de software, incluida la descarga de archivos de los servidores o pares de Microsoft para instalar actualizaciones en Windows 10, mensajeros y otras aplicaciones diseñadas para operar en segundo plano.

Según los investigadores de seguridad de la empresa de seguridad cibernética ESET, dado que las tareas BITS son más probables permitidas por los firewalls basados ​​en host y la funcionalidad ajusta automáticamente la velocidad de transferencia de datos, permite que el malware opere sigilosamente en segundo plano sin levantar ninguna señal de alerta.

"En comparación con la comunicación tradicional a través de funciones API, el mecanismo BITS está expuesto a través de una interfaz COM y, por lo tanto, es más difícil de detectar para un producto de seguridad", dicen los investigadores en un informe publicado hoy.

"La transferencia se reanuda automáticamente después de ser interrumpida por razones como una interrupción de la red, el cierre de sesión del usuario o un reinicio del sistema".

Además de esto, en lugar de filtrar los datos recopilados en texto plano, el malware primero crea una copia encriptada y luego carga la copia al servidor C&C a través del protocolo BITS.

Después de extraer con éxito los datos robados, el malware elimina automáticamente todos los archivos de registro y recopilados después de reescribirlos con datos aleatorios para evitar el análisis forense y la recuperación de los datos eliminados.

Como se explica en el informe, la puerta trasera Win32 / StealthFalcon no solo ha sido diseñada para robar datos de los sistemas comprometidos, sino que también puede ser utilizada por los atacantes para desplegar más herramientas maliciosas y actualizar su configuración enviando comandos a través del servidor C&C.

"La puerta trasera Win32 / StealthFalcon, que parece haber sido creada en 2015, permite al atacante controlar la computadora comprometida de forma remota. Hemos visto un pequeño número de objetivos en EAU, Arabia Saudita, Tailandia y los Países Bajos; en este último caso , el objetivo era una misión diplomática de un país del Medio Oriente ", dicen los investigadores.

Según los investigadores, este malware recientemente descubierto comparte sus servidores C&C y su base de código con una puerta trasera basada en PowerShell atribuida al grupo Stealth Falcon y rastreada por Citizen Lab en 2016.


Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta