Microsoft utiliza el sistema BITS para enviar actualizaciones de Windows a sus usuarios y los firewalls generalmente lo ignoran
Los investigadores de seguridad han descubierto una nueva variedad de malware, que utiliza el Servicio de transferencia inteligente en segundo plano (BITS) de Microsoft Windows para transferir silenciosamente los datos robados al servidor controlado por el atacante.
El malware está vinculado con el grupo de ciberespionaje Stealth Falcon, según los investigadores de la firma de seguridad cibernética ESET , con sede en Eslovaquia , que descubrió por primera vez la nueva cepa de malware dirigida a un pequeño número de sistemas en los Emiratos Árabes Unidos (EAU), Arabia Saudita, Tailandia y los Países Bajos.
Stealth Falcon es un grupo avanzado de amenazas persistentes (APT) que ha estado activo desde 2012 y es conocido por atacar a disidentes y activistas en la región de Medio Oriente, específicamente en los EAU. El primer informe sobre Stealth Falcon fue publicado por la organización sin fines de lucro Citizen Lab en 2016. En ese momento, Citizen Lab reveló que el grupo utilizó una puerta trasera altamente secreta escrita en PowerShell para infiltrarse en las máquinas de sus objetivos.
La nueva cepa de malware descubierta por los investigadores de ESET se ha denominado Win32 / StealthFalcon. Según ESET, esta herramienta es más avanzada que la anterior utilizada por el grupo Stealth Falcon y puede usar el sistema BITS de Windows para comunicarse con sus servidores de comando y control (C&C).
Microsoft utiliza BITS para enviar actualizaciones de Windows a sus usuarios en todo el mundo. El servicio utiliza el ancho de banda de red no utilizado para permitir la transferencia asincrónica y priorizada de archivos entre máquinas, sin afectar la experiencia de la red para los usuarios.
BITS se usa comúnmente para descargar archivos de los servidores de Microsoft para instalar actualizaciones de Windows 10. También es utilizado por muchas otras aplicaciones para descargar sus propias actualizaciones.
Debido a que el firewall BITS generalmente ignora el tráfico BITS, permite que el malware Win32 / StealthFalcon se oculte silenciosamente en el sistema y continúe su operación en segundo plano.
Según los investigadores, la puerta trasera Win32 / StealthFalcon permite a los atacantes tomar el control de la computadora comprometida de forma remota. Funciona como una puerta trasera básica y permite a sus operadores descargar y ejecutar más programas maliciosos en hosts infectados.
"Win32 / StealthFalcon puede cambiar la comunicación entre dos servidores C&C cuyas direcciones se almacenan en una clave de registro, junto con otros valores de configuración, y pueden actualizarse mediante uno de los comandos de puerta trasera", escribieron los investigadores de ESET en una publicación en línea .
"En caso de que la puerta trasera no llegue a sus servidores C&C, la puerta trasera se retira del sistema comprometido después de un número preconfigurado de intentos fallidos".
Los investigadores de ESET descubrieron que la puerta trasera Win32 / StealthFalcon y su puerta trasera PowerShell predecesora usaban los mismos dominios de servidor C&C. Ambas herramientas también demuestran muchas similitudes en su código, aunque están escritas en diferentes idiomas.
Esta no es la primera instancia de un grupo de ciberespionaje que abusa del servicio BITS para operar.
Dos grupos de piratería chinos conocidos como Tropic Trooper (Key Boy) y TEMP.Periscope han sido reportados anteriormente utilizando BIT para atacar computadoras.
El año pasado, los investigadores de Kaspersky también revelaron sobre FruityArmor APT, una pandilla de ciberespionaje con sede en Oriente Medio, que utiliza BITS para permitir que su malware se comunique con los servidores C2.
Fecha actualización el 2021-09-11. Fecha publicación el 2019-09-11. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: computing Version movil