Nuevo Malware StealthFalcon utiliza el servicio BITS de Windows para robar datos

12 Septiembre 2019
Alto

Investigadores de ESET descubrieron un nuevo backdoor (troyano que permite el acceso al sistema infectado y su control remoto), asociado al grupo Stealth Falcon , que realiza operaciones de ciberespionaje contra activistas políticos y periodistas en Oriente Medio. De momento, sólo se ha hecho pública cierta información técnica sobre los ataques, entre la que se incluye un análisis del componente clave del malware, y un backdoor basado en PowerShell que se distribuye en un documento infectado a través de correo electrónico.

Esta nueva de cepa del Malware Win32/StealthFalcon se comunica y envía los datos recopilados a sus servidores remotos de comando y control (C&C) a través del servicio de transferencia inteligente en segundo plano de Windows (BITS).

BITS es un componente de Windows que aprovecha el ancho de banda no utilizado para la transferencia, en primer o segundo plano de archivos. Esta utilidad es muy utilizada por actualizador de Windows 10 y permite reanudar la transferencia de los archivos en caso de interrupciones. Además, al ser un sistema integrado en Windows es más sencillo que un Firewall no lo bloquee, lo que ha hecho que, durante 4 años, nadie se percatara de este malware.

El backdoor Win32/StealthFalcon no solo realiza la transferencia de archivos en segundo plano, primero crea una copia cifrada de los archivos y la carga en el servidor C&C a través de BITS. Una vez cargados los archivos, el malware elimina todos los archivos de registro y los sobrescribe con datos aleatorios para dificultar el análisis forense y evitar la recuperación de los archivos.

Como se explica en el informe, el malware no ha sido diseñado solo para robar datos de los sistemas infectados, también puede ser utilizado por los atacantes para descargar herramientas maliciosas y actualizar la configuración mediante el servidor C&C.

Se recomienda lo siguiente:

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.

- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.

- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)

- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas

- Evitar instalar programas de sitios que no sean oficiales.

- Revisar los controles de seguridad de los AntiSpam y SandBoxing

- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.

- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.

- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.

- Tener activado el UAC (control de cuentas de usuario) de Windows.

Contacto

¡Cuenta con nosotros!
inteligencia@cci-entel.cl


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.