Los investigadores de seguridad cibernética han descubierto un nuevo virus informático asociado con el grupo de ciberespionaje patrocinado por el estado Stealth Falcon que abusa de un componente integrado del sistema operativo Microsoft Windows para filtrar sigilosamente los datos robados al servidor controlado por el atacante.
Activo desde 2012, Halcón sigiloso es un sofisticado grupo de piratería conocido por atacar a periodistas, activistas y disidentes con spyware en Oriente Medio, principalmente en los Emiratos Árabes Unidos (EAU).
Doblado Win32 / StealthFalconllamado así por el grupo de piratas informáticos, el malware se comunica y envía los datos recopilados a sus servidores remotos de comando y control (C&C) mediante el Servicio de transferencia inteligente en segundo plano (BITS) de Windows.
BITS es un protocolo de comunicación en Windows que toma el ancho de banda de red no utilizado para facilitar la transferencia asincrónica, priorizada y limitada de archivos entre máquinas en primer plano o en segundo plano, sin afectar la experiencia de red.
BITS es comúnmente utilizado por los actualizadores de software, incluida la descarga de archivos de los servidores de Microsoft o pares para instalar actualizaciones en Windows 10, mensajeros y otras aplicaciones diseñadas para operar en segundo plano.
Según los investigadores de seguridad de la firma de seguridad cibernética ESET, dado que es más probable que los firewalls basados en host permitan las tareas BITS y la funcionalidad ajusta automáticamente la velocidad de transferencia de datos, permite que el malware opere sigilosamente en segundo plano sin generar señales de alerta.
«En comparación con la comunicación tradicional a través de funciones API, el mecanismo BITS se expone a través de una interfaz COM y, por lo tanto, es más difícil de detectar para un producto de seguridad», dicen los investigadores en un informe publicado hoy.
«La transferencia se reanuda automáticamente después de ser interrumpida por razones como una interrupción de la red, el cierre de sesión del usuario o un reinicio del sistema».
Además de esto, en lugar de filtrar los datos recopilados en texto sin formato, el malware primero crea una copia cifrada y luego carga la copia en el servidor C&C a través del protocolo BITS.
Después de exfiltrar con éxito los datos robados, el malware elimina automáticamente todos los archivos de registro y recopilados después de reescribirlos con datos aleatorios para evitar el análisis forense y la recuperación de los datos eliminados.
Como se explica en el informe, el backdoor Win32/StealthFalcon no solo ha sido diseñado para robar datos de los sistemas comprometidos, sino que también puede ser utilizado por atacantes para implementar más herramientas maliciosas y actualizar su configuración mediante el envío de comandos a través del servidor C&C.
«La puerta trasera Win32/StealthFalcon, que parece haber sido creada en 2015, permite al atacante controlar la computadora comprometida de forma remota. Hemos visto una pequeña cantidad de objetivos en los Emiratos Árabes Unidos, Arabia Saudita, Tailandia y los Países Bajos; en el último caso , el objetivo era una misión diplomática de un país del Medio Oriente «, dicen los investigadores.
Según los investigadores, este malware recién descubierto comparte sus servidores C&C y su base de código con una puerta trasera basada en PowerShell atribuida al grupo Stealth Falcon y rastreada por Citizen Lab en 2016.
