Investigadores de ESET descubrieron un nuevo backdoor (troyano que permite el acceso al sistema infectado y su control remoto), asociado al grupo Stealth Falcon , que realiza operaciones de ciberespionaje contra activistas políticos y periodistas en Oriente Medio. De momento, sólo se ha hecho pública cierta información técnica sobre los ataques, entre la que se incluye un análisis del componente clave del malware, y un backdoor basado en PowerShell que se distribuye en un documento infectado a través de correo electrónico.
Esta nueva de cepa del Malware Win32/StealthFalcon se comunica y envía los datos recopilados a sus servidores remotos de comando y control (C&C) a través del servicio de transferencia inteligente en segundo plano de Windows (BITS).
BITS es un componente de Windows que aprovecha el ancho de banda no utilizado para la transferencia, en primer o segundo plano de archivos. Esta utilidad es muy utilizada por actualizador de Windows 10 y permite reanudar la transferencia de los archivos en caso de interrupciones. Además, al ser un sistema integrado en Windows es más sencillo que un Firewall no lo bloquee, lo que ha hecho que, durante 4 años, nadie se percatara de este malware.
El backdoor Win32/StealthFalcon no solo realiza la transferencia de archivos en segundo plano, primero crea una copia cifrada de los archivos y la carga en el servidor C&C a través de BITS. Una vez cargados los archivos, el malware elimina todos los archivos de registro y los sobrescribe con datos aleatorios para dificultar el análisis forense y evitar la recuperación de los archivos.
Como se explica en el informe, el malware no ha sido diseñado solo para robar datos de los sistemas infectados, también puede ser utilizado por los atacantes para descargar herramientas maliciosas y actualizar la configuración mediante el servidor C&C.
Se recomienda lo siguiente:
- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
- Evitar instalar programas de sitios que no sean oficiales.
- Revisar los controles de seguridad de los AntiSpam y SandBoxing
- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
- Tener activado el UAC (control de cuentas de usuario) de Windows.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |
| Tipo | Indicador |
|---|---|
| url | http://footballtimes.info |
| url | http://vegetableportfolio.com |
| url | http://windowsearchcache.com |
| url | http://electricalweb.org |
| url | http://upnpdiscover.org |
| hash | 31B54AEBDAF5FBC73A66AC41CCB... |
| hash | 50973A3FC57D70C7911F7A95235... |
| hash | 244EB62B9AC30934098CA420444... |
| hash | 5C8F83CC4FF57E7C67925DF4D9D... |
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.