Por:

bits de janelas de malware stealthfalcon

Pesquisadores de segurança cibernética descobriram um novo vírus de computador associado ao grupo de espionagem cibernética patrocinado pelo Estado Stealth Falcon, que abusa de um componente interno do sistema operacional Microsoft Windows para filtrar furtivamente dados roubados para um servidor controlado por invasor.

Ativo desde 2012, o Stealth Falcon é um grupo sofisticado de hackers, conhecido por atacar jornalistas, ativistas e dissidentes com spyware no Oriente Médio, principalmente nos Emirados Árabes Unidos (EAU).

Apelidado de Win32 / StealthFalcon , nomeado após o grupo de hackers, o malware se comunica e envia dados coletados para seus servidores de comando e controle (C&C) remotos usando o BITS (Serviço de Transferência Inteligente em Segundo Plano do Windows).

O BITS é um protocolo de comunicação no Windows que utiliza largura de banda de rede não utilizada para facilitar a transferência assíncrona, priorizada e otimizada de arquivos entre máquinas em primeiro plano ou em segundo plano, sem afetar a experiência da rede.

O BITS é comumente usado por atualizadores de software, incluindo o download de arquivos dos servidores ou pares da Microsoft para instalar atualizações no Windows 10, mensageiros e outros aplicativos projetados para operar em segundo plano.

De acordo com os pesquisadores de segurança da empresa de cibersegurança ESET, como as tarefas do BITS são mais provavelmente permitidas pelos firewalls baseados em host e a funcionalidade ajusta automaticamente a taxa de transferência de dados, ele permite que o malware opere furtivamente em segundo plano sem levantar sinais de alerta.

“Comparado à comunicação tradicional via funções de API, o mecanismo BITS é exposto por meio de uma interface COM e, portanto, mais difícil para um produto de segurança detectar”, afirmam os pesquisadores em um relatório publicado hoje.

“A transferência é retomada automaticamente após ser interrompida por motivos como falta de rede, logout do usuário ou reinicialização do sistema”.

Além disso, em vez de filtrar os dados coletados em texto sem formatação, o malware primeiro cria uma cópia criptografada e depois carrega a cópia no servidor C&C por meio do protocolo BITS.

Após a filtragem bem-sucedida dos dados roubados, o malware exclui automaticamente todos os arquivos de log e coletados após reescrevê-los com dados aleatórios, a fim de impedir a análise forense e a recuperação dos dados excluídos.

Conforme explicado no relatório, o backdoor Win32 / StealthFalcon não foi projetado apenas para roubar dados dos sistemas comprometidos, mas também pode ser usado pelos atacantes para implantar mais ferramentas maliciosas e atualizar sua configuração enviando comandos pelo servidor C&C.

“O backdoor Win32 / StealthFalcon, que parece ter sido criado em 2015, permite que o invasor controle remotamente o computador comprometido. Vimos um pequeno número de alvos nos Emirados Árabes Unidos, Arábia Saudita, Tailândia e Holanda; neste último caso , o alvo era uma missão diplomática de um país do Oriente Médio “, afirmam os pesquisadores.

Segundo os pesquisadores, esse malware recém-descoberto compartilha seus servidores C&C e sua base de códigos com um backdoor baseado no PowerShell atribuído ao grupo Stealth Falcon e rastreado pelo Citizen Lab em 2016.

Fonte: The Hacker News