Distribuyen malware a través de un componente de Windows 10

ESET ha encontró una puerta trasera en Windows 10, la que dio paso a ataques de un spyware basado en Powershell, dirigidos contra periodistas y activistas de Oriente Medio aprovechándose del servicio de transferencia de datos en segundo plano de Windows.

El grupo responsable opera bajo el nombre de Stealth Falcon, y por lo que se conoce ha estado funcionando desde el año 2012. Desde ESET, afirman que la puerta trasera binaria descubierta habría sido creada en el año 2015 bajo el nombre de Win32 / StrealthFalcon.

El malware permitiría a los atacantes controlar la computadora infectada de forma remota. Lo más llamativo de dicho malware es que se valía de BITS (Background Intelligent Transfer Service) para comunicarse con su servidor.

El malware tomaba la forma de archivo dll., y era capaz de robar información, eliminarla y cambiar la configuración del sistema infectado

En concreto, Win32 / StealthFalcon es un archivo DLL que se instala en el ordenador afectado, y se inicia como una tarea más cada vez que se inicia sesión. Mediante comandos básicos, es capaz de recopilar archivos, eliminarlos, escribir datos y actualizar los propios datos de configuración del PC, entre otros.

En cuanto a BITS, tiene como principal objetivo enviar grandes paquetes de datos ocupando el mínimo de ancho de banda posible, siendo capaz de operar en segundo plano. Al ser el sistema predeterminado de Windows para enviar actualizaciones, es más sencillo que un firewall lo deje pasar, lo que ha hecho que durante cuatro años nadie se dé cuenta de su comportamiento.

El equipo de ESET logró detectar la brecha debido al comportamiento sospechoso del malware, que ocultaba el tráfico que enviaba a su servidor a través del BITS de Windows. Por el momento, no se conocen más detalles sobre el número de ordenadores afectados y sobre la actuación que se espera para acabar con el malware.

Evita ser víctima de este tipo de vulnerabilidades, gracias al Multipremiado antimalware con mínimo impacto en el sistema ESET Endpoint Antivirus

Conoce todo sobre ESET ENDPOINT ANTIVIRUS, la mejor elección para la seguridad de tu empresa, descarga tu prueba gratuita por 30 días