phần mềm độc hại mới sử dụng dịch vụ windows bits để đánh cắp dữ liệu

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại virus máy tính mới liên quan đến nhóm gián điệp mạng do Stealth Falcon tài trợ, lạm dụng một thành phần tích hợp trong hệ điều hành Microsoft Windows để lén lút đánh cắp dữ liệu và gửi đến máy chủ do kẻ tấn công kiểm soát.
Hoạt động từ năm 2012, Stealth Falcon là một nhóm hack tinh vi được biết đến với mục tiêu là các nhà báo, nhà hoạt động và nhà bất đồng chính kiến với phần mềm gián điệp ở Trung Đông, chủ yếu ở Các Tiểu vương quốc Ả Rập Thống nhất (UAE).
Được đặt tên là Win32 / StealthFalcon, đặt tên theo nhóm hack, phần mềm độc hại giao tiếp và gửi dữ liệu được thu thập đến các máy chủ chỉ huy và kiểm soát từ xa (C & C) bằng Dịch vụ chuyển giao thông minh nền tảng Windows (BITS).
BITS là một giao thức truyền thông trong Windows, sử dụng băng thông mạng trống để tạo điều kiện cho việc chuyển các tệp không đồng bộ, ưu tiên và điều chỉnh giữa các máy mà không ảnh hưởng đến hiệu suất mạng.
BITS thường được sử dụng bởi các trình cập nhật phần mềm, bao gồm tải xuống các tệp từ máy chủ của Microsoft hoặc các máy ngang hàng để cài đặt các bản cập nhật trên Windows 10, trình nhắn tin và các ứng dụng khác được thiết kế để hoạt động ở chế độ nền.
Theo các nhà nghiên cứu bảo mật tại công ty bảo mật không gian mạng ESET, vì các nhiệm vụ BITS có thể được cho phép bởi tường lửa dựa trên máy chủ và chức năng tự động điều chỉnh tốc độ truyền dữ liệu, nó cho phép phần mềm độc hại hoạt động lén lút trong nền mà không cần treo cờ đỏ.
"So với giao tiếp truyền thống thông qua các chức năng API, cơ chế BITS được bộc lộ qua giao diện COM và do đó khó bị phát hiện bởi sản phẩm bảo mật hơn", các nhà nghiên cứu cho biết trong một báo cáo được công bố hôm nay.
"Việc chuyển tiếp sẽ tự động trở lại nếu bị gián đoạn vì các lý do như mất mạng, người dùng đăng xuất hoặc hệ thống khởi động lại."
Bên cạnh đó, thay vì lọc dữ liệu được thu thập trong văn bản thuần túy, phần mềm độc hại trước tiên tạo một bản sao được mã hóa của dữ liệu đó và sau đó tải bản sao lên máy chủ C & C thông qua giao thức BITS.
Sau khi thực hiện thành công, phần mềm độc hại sẽ tự động xóa tất cả các tệp nhật ký và thu thập sau khi viết lại chúng với dữ liệu ngẫu nhiên để ngăn việc phân tích truy vết và phục hồi dữ liệu bị xóa.
Như đã giải thích trong báo cáo, Win32 / StealthFalcon không chỉ được thiết kế để đánh cắp dữ liệu từ các hệ thống bị xâm nhập mà còn có thể được những kẻ tấn công sử dụng để triển khai thêm các công cụ độc hại và cập nhật cấu hình của nó bằng cách gửi lệnh qua máy chủ C & C.
"Backdoor Win32 / StealthFalcon, dường như đã được tạo ra vào năm 2015, cho phép kẻ tấn công điều khiển máy tính bị xâm nhập từ xa. Chúng tôi đã thấy một số lượng nhỏ các mục tiêu ở UAE, Ả Rập Saudi, Thái Lan và Hà Lan; , mục tiêu là một nhiệm vụ ngoại giao của một quốc gia Trung Đông, "các nhà nghiên cứu nói.
Theo các nhà nghiên cứu, phần mềm độc hại mới được phát hiện này chia sẻ các máy chủ C & C và cơ sở mã của họ với một backdoor dựa trên PowerShell được gán cho nhóm Stealth Falcon và được theo dõi bởi Citizen Lab vào năm 2016.
Công ty Itmap Asia nhà phân phối thiết bị Tường Lửa WatchGuard tại Việt Nam.
ITMAP ASIA
555 Trần Hưng Đạo, P. Cầu Kho, Q.1, TP.HCM
Email: info@itmapasia.com
Đt: 028 5404 0717 - 5404 0799
Bình luận
Bài viết bạn có thể quan tâm
Ryzen 8000G: Lựa chọn CPU All-in-One cho PC Đa Năng và Gaming Tiết Kiệm
AMD đã và đang mang đến những lựa chọn hấp dẫn cho những ai muốn xây dựng một bộ PC nhỏ gọn, tiết kiệm chi phí mà vẫn đáp ứng tốt nhu cầu làm việc và giải trí
PC Tầm Trung cho Học Sinh, Sinh Viên: Giải Pháp Toàn Diện với AMD Ryzen 5 7000 series & Radeon RX 7600
Giới thiệu một cỗ máy tính mạnh mẽ, đáng tin cậy với mức giá phải chăng luôn là bài toán khó, đặc biệt đối với học sinh, sinh viên khi túi tiền có hạn nhưng nhu cầu lại đa dạng
AMD và bước tiến lớn trong phần cứng AI tại AMD Advancing AI 2025
Với sức mạnh ngày càng lớn từ lĩnh vực điện toán hiệu năng cao (HPC) và AI, AMD đã chứng minh sự cam kết mạnh mẽ đối với công nghệ tiên tiến thông qua việc phát triển các kiến trúc hiện đại. Tại sự kiện AMD Advancing AI 2025, AMD tiếp tục gây ấn tượng với những sản phẩm đột phá, đánh dấu cột mốc mới trong hành trình thúc đẩy sự đổi mới công nghệ
Đánh giá Lenovo IdeaPad Slim 5 14AKP10: 32GB RAM, 1TB SSD, mạnh mẽ, pin trâu, màn hình OLED, cực kỳ đáng mua
Lenovo IdeaPad Slim 5 14AKP10 là một mẫu laptop văn phòng cực kỳ đáng cân nhắc nhờ sở hữu hàng loạt các ưu điểm nổi bật, cho trải nghiệm tuyệt vời có thể làm hài lòng cả những người dùng khó tính nhất
Những mẫu laptop gaming đáng mua nhất dịp hè 2025
Hè đã đến, đây là khoảng thời gian tuyệt vời để chìm đắm trong những tựa game yêu thích. Để có những trải nghiệm chiến game mượt mà và đỉnh cao nhất, việc lựa chọn một chiếc laptop gaming mạnh mẽ là vô cùng quan trọng.
PC Thế Hệ Mới Cho Phòng Game: Sức Mạnh Vượt Trội Từ Ryzen 5 7500F và Radeon RX 7600
Trong kỷ nguyên của các tựa game đồ họa đỉnh cao và yêu cầu hiệu năng ngày càng khắt khe, việc xây dựng một cấu hình máy tính phòng game thế hệ mới đòi hỏi sự cân nhắc kỹ lưỡng giữa hiệu suất, chi phí và khả năng nâng cấp lâu dài.