StealthFalcon abusa del servicio BITS de Windows para filtrar datos


Investigadores de ciberseguridad han descubierto una nueva variedad de malware que utiliza un componente incorporado del sistema operativo Microsoft Windows llamado Windows Background Intelligent Transfer Service (BITS) para ejecutar código adicional o para filtrar sigilosamente datos robados a un servidor remoto. El nuevo backdoor denominado Win32 / StealthFalcon por ESET parece ser el trabajo del famoso grupo de ciberespionaje patrocinado por alguún estado llamado StealthFalcon. El primer informe Citizen Lab, una organización sin fines de lucro que se centra en la seguridad y los derechos humanos, informó en el 2016 la actividad de este grupo. Según el análisis, Stealth Falcon, que ha estado activo desde 2012, se dirige principalmente a activistas políticos y periodistas en el Medio Oriente. En enero de 2019, Amnistía Internacional dijo que creía que Stealth Falcon y una iniciativa similar de ciberespionaje llamada Proyecto Raven eran en realidad el mismo grupo.

En ataques anteriores, el grupo usó un backdoor sigiloso basado en PowerShell, distribuido a través de un documento armado que se incluyó en un correo electrónico malicioso, pero parece que los piratas informáticos han abandonado la herramienta en favor de una puerta trasera aún más sigilosa que utiliza el sistema Windows BITS para comunicarse con su servidor de comando y control (C&C). Los programadores y administradores de sistemas utilizan el servicio BITS para descargar o cargar archivos en servidores web HTTP y recursos compartidos de archivos SMB.

“Es comúnmente utilizado por los actualizadores, mensajeros y otras aplicaciones diseñadas para operar en segundo plano. Esto significa que es más probable que las tareas de BITS sean permitidas por los firewalls basados ​​en host ”, explicó el equipo de investigación de ESET. 

Win32 / StealthFalcon, que parece haber sido creado en 2015, es un archivo DLL que, después de la ejecución, se programa como una tarea que se ejecuta en cada inicio de sesión de usuario. Solo tiene funciones básicas, como capacidades para recopilar / filtrar información, ejecutar herramientas maliciosas adicionales y actualizar su configuración. El informe de ESET no proporcionó la información sobre cómo se entrega y ejecuta la puerta trasera en los sistemas infectados.

Además, los investigadores han encontrado una función interesante que se ejecuta antes de que se inicie cualquier carga maliciosa.

“Hace referencia a más de 300 importaciones de librerias, pero no las usa en absoluto. En cambio, siempre regresa y continúa con la carga útil después, sin verificaciones de condiciones que sugieran que es un truco anti-emulación ”, se lee en el informe. Los expertos creen que esta función se usa como un intento de evitar la detección o es una parte sobrante de un marco más grande utilizado por los autores del malware.

Tanto Win32 / StealthFalcon como la puerta trasera basada en PowerShell descrita en el análisis de Citizen Lab comparten el mismo dominio de servidor C&C (windowsearchcache [.] Com), y ambos comparten similitudes en el código.

“Ambas puertas traseras muestran similitudes significativas en el código, aunque están escritas en diferentes idiomas, la lógica subyacente se conserva. Ambos usan identificadores codificados (probablemente ID de campaña / ID de objetivo). En ambos casos, toda la comunicación de red del host comprometido tiene el prefijo de estos identificadores y se cifra con RC4 utilizando una clave codificada. Para su comunicación con el servidor C&C, ambos usan HTTPS pero establecen banderas específicas para que la conexión ignore el certificado del servidor ”, agregaron los investigadores.

En la última parte del informe de ESET se proporcionan indicadores de compromiso (IoC), incluida una lista de servidores de C&C utilizados en esta campaña .