Investigadores de ciberseguridad han
descubierto un nuevo malware asociado al grupo Stealth Falcon, éste malware
utiliza el servicio background intelligent transfer service (BITS) para el
envío de datos en segundo plano al servidor controlado por el atacante.
El grupo Stealth Falcon, patrocinado
por el estado, es conocido por atacar a periodistas, activistas y personas
detractoras del sistema con spyware. Este grupo centra su actividad
principalmente en el Medio Oriente, más concretamente en los Emiratos Árabes
Unidos (EAU).
Win32/StealthFalcon se comunica y
envía los datos recopilados a los servidores de comando y control (C&C) a
través del servicio de transferencia inteligente en segundo plano de Windows
(BITS).
BITS es un componente de Windows que
aprovecha el ancho de banda no utilizado para la transferencia, en primer o
segundo plano, de archivos. Esta utilidad es muy utilizada por actualizadores
de software en Windows 10 y permite reanudar la transferencia de los archivos
en caso de interrupciones. Además, al ser un sistema integrado en Windows es
más sencillo que un Firewall no lo bloquee, lo que ha hecho que, durante 4
años, nadie se percatase de este malware.
Según investigadores de ESET, dado que
la velocidad de envío de los archivos se ajusta automáticamente y que escapa de
las medidas de seguridad habitualmente configuradas, este malware puede operar
en segundo plano sin ser detectado y sin modificar la experiencia de uso del
usuario.
Pero la puerta trasera
Win32/StealthFalcon no solo realiza la transferencia de archivos en segundo
plano, primero crea una copia cifrada de los archivos y la carga en el servidor
C&C a través de BITS.
Una vez cargados los archivos, el
malware elimina todos los archivos de registro y los sobrescribe con datos
aleatorios para dificultar el análisis forense y evitar la recuperación de los
archivos.
Como explican en el informe, no ha
sido diseñado solo para robar datos de los sistemas infectados, también puede
ser utilizado por los atacantes para descargar herramientas maliciosas y
actualizar la configuración mediante el servidor C&C.
Más información:
Fuente: Hispasec