Phần mềm độc hại mới sử dụng dịch vụ Windows BITS để đánh cắp dữ liệu
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại virus máy tính mới liên quan đến nhóm gián điệp mạng do Stealth Falcon tài trợ, lạm dụng một thành phần tích hợp trong hệ điều hành Microsoft Windows để lén lút đánh cắp dữ liệu và gửi đến máy chủ do kẻ tấn công kiểm soát.
Hoạt động từ năm 2012, Stealth Falcon là một nhóm hack tinh vi được biết đến với mục tiêu là các nhà báo, nhà hoạt động và nhà bất đồng chính kiến với phần mềm gián điệp ở Trung Đông, chủ yếu ở Các Tiểu vương quốc Ả Rập Thống nhất (UAE).
Được đặt tên là Win32 / StealthFalcon, đặt tên theo nhóm hack, phần mềm độc hại giao tiếp và gửi dữ liệu được thu thập đến các máy chủ chỉ huy và kiểm soát từ xa (C & C) bằng Dịch vụ chuyển giao thông minh nền tảng Windows (BITS).
BITS là một giao thức truyền thông trong Windows, sử dụng băng thông mạng trống để tạo điều kiện cho việc chuyển các tệp không đồng bộ, ưu tiên và điều chỉnh giữa các máy mà không ảnh hưởng đến hiệu suất mạng.
BITS thường được sử dụng bởi các trình cập nhật phần mềm, bao gồm tải xuống các tệp từ máy chủ của Microsoft hoặc các máy ngang hàng để cài đặt các bản cập nhật trên Windows 10, trình nhắn tin và các ứng dụng khác được thiết kế để hoạt động ở chế độ nền.
Theo các nhà nghiên cứu bảo mật tại công ty bảo mật không gian mạng ESET, vì các nhiệm vụ BITS có thể được cho phép bởi tường lửa dựa trên máy chủ và chức năng tự động điều chỉnh tốc độ truyền dữ liệu, nó cho phép phần mềm độc hại hoạt động lén lút trong nền mà không cần treo cờ đỏ.
"So với giao tiếp truyền thống thông qua các chức năng API, cơ chế BITS được bộc lộ qua giao diện COM và do đó khó bị phát hiện bởi sản phẩm bảo mật hơn", các nhà nghiên cứu cho biết trong một báo cáo được công bố hôm nay.
"Việc chuyển tiếp sẽ tự động trở lại nếu bị gián đoạn vì các lý do như mất mạng, người dùng đăng xuất hoặc hệ thống khởi động lại."
Bên cạnh đó, thay vì lọc dữ liệu được thu thập trong văn bản thuần túy, phần mềm độc hại trước tiên tạo một bản sao được mã hóa của dữ liệu đó và sau đó tải bản sao lên máy chủ C & C thông qua giao thức BITS.
Sau khi thực hiện thành công, phần mềm độc hại sẽ tự động xóa tất cả các tệp nhật ký và thu thập sau khi viết lại chúng với dữ liệu ngẫu nhiên để ngăn việc phân tích truy vết và phục hồi dữ liệu bị xóa.
Như đã giải thích trong báo cáo, Win32 / StealthFalcon không chỉ được thiết kế để đánh cắp dữ liệu từ các hệ thống bị xâm nhập mà còn có thể được những kẻ tấn công sử dụng để triển khai thêm các công cụ độc hại và cập nhật cấu hình của nó bằng cách gửi lệnh qua máy chủ C & C.
"Backdoor Win32 / StealthFalcon, dường như đã được tạo ra vào năm 2015, cho phép kẻ tấn công điều khiển máy tính bị xâm nhập từ xa. Chúng tôi đã thấy một số lượng nhỏ các mục tiêu ở UAE, Ả Rập Saudi, Thái Lan và Hà Lan; , mục tiêu là một nhiệm vụ ngoại giao của một quốc gia Trung Đông, "các nhà nghiên cứu nói.
Theo các nhà nghiên cứu, phần mềm độc hại mới được phát hiện này chia sẻ các máy chủ C & C và cơ sở mã của họ với một backdoor dựa trên PowerShell được gán cho nhóm Stealth Falcon và được theo dõi bởi Citizen Lab vào năm 2016.
Công ty Itmap Asia nhà phân phối thiết bị Tường Lửa WatchGuard tại Việt Nam.
ITMAP ASIA
555 Trần Hưng Đạo, P. Cầu Kho, Q.1, TP.HCM
Email: info@itmapasia.com
Đt: 028 5404 0717 - 5404 0799
#AMD