Una puerta trasera ha sido detectada en Windows 10 por el equipo de ESET. Esta, dio paso a ataques de un spyware basado en Powershell, dirigidos contra periodistas y activistas de Oriente Medio aprovechándose del servicio de transferencia de datos en segundo plano de Windows.
El grupo responsable opera bajo el nombre de Stealth Falcon, y según leemos en ZDnet ha estado funcionando desde el año 2012, habiendo realizado movimientos similares. Desde ESET, afirman haber encontrado una puerta trasera binaria bajo el nombre de Win32 / StrealthFalcon, que habría sido creada en el año 2015.
Un malware capaz de controlar el PC de forma remota
El malware permitiría a los atacantes controlar el ordenador infectado de forma remota, habiéndose reportado ataques en Oriente Medio y alguna capital europea, como los Países Bajos. Lo más llamativo de dicho malware es que se valía de BITS (Background Intelligent Transfer Service) para comunicarse con su servidor. BITS es el servicio de transferencia de archivos en segundo plano que utiliza Windows para, por ejemplo, distribuir actualizaciones de sistema operativo.
En concreto, Win32 / StealthFalcon es un archivo DLL que se instala en el ordenador afectado, y se inicia como una tarea más cada vez que se inicia sesión. Mediante comandos básicos, es capaz de recopilar archivos, eliminarlos, escribir datos y actualizar los propios datos de configuración del PC, entre otros.
En cuanto a BITS, como adelantamos, tiene como principal objetivo enviar grandes paquetes de datos ocupando el mínimo de ancho de banda posible, siendo capaz de operar en segundo plano. Al ser el sistema predeterminado de Windows para enviar actualizaciones, es más sencillo que un firewall lo deje pasar, lo que ha hecho que durante cuatro años nadie se de cuenta de su comportamiento.
El equipo de ESET logró detectar la brecha debido al comportamiento sospechoso del malware, que ocultaba el tráfico que enviaba a su servidor a través del BITS de Windows. Por el momento, no se conocen más detalles sobre el número de ordenadores afectados y sobre la actuación que se espera para acabar con el malware.
Vía | ZDnet
Ver 20 comentarios