Home > Informatica > ESET: la nuova backdoor Stealth Falcon sfrutta Windows Update per eludere i software di sicurezza

ESET: la nuova backdoor Stealth Falcon sfrutta Windows Update per eludere i software di sicurezza

articolo pubblicato da: Elygiuliano | segnala un abuso

ESET: la nuova backdoor Stealth Falcon sfrutta Windows Update per eludere i software di sicurezza

I ricercatori di ESET hanno individuato una nuova backdoor collegata al malware utilizzato dal gruppo Stealth Falcon, autore di diversi attacchi spyware mirati contro giornalisti, attivisti e dissidenti in Medio Oriente, soprattutto negli Emirati Arabi Uniti.

Questa backdoor, chiamata Win32 / StealthFalcon, per comunicare con il server C&C utilizza una tecnica piuttosto insolita, ovvero il Background Intelligent Transfer Service (BITS) di Windows. Questo componente è stato progettato per trasferire grandi quantità di dati limitando l’impatto sulla banda di rete, in modo da non influire sul trasferimento dati di altre applicazioni. Per questa sua particolare caratteristica, il protocollo BITS è comunemente usato per effettuare aggiornamenti di software e di altre applicazioni – come messenger - progettate per operare in background. Questo significa che è più probabile che le attività del BITS non vengano filtrate da eventuali firewall o software di sicurezza. Inoltre, rispetto al sistema di comunicazione tradizionale tramite funzioni API, il meccanismo BITS opera attraverso un'interfaccia COM ed è quindi più difficile da rilevare per un prodotto di sicurezza. Sfruttando queste caratteristiche, Stealth Falcon riesce ad operare in background in modo furtivo, passando inosservato ad eventuali controlli di sicurezza.

Oltre all’utilizzo di BITS, Stealth Falcon si distingue anche poiché, prima dell’avvio del payload principale, importa una grande quantità di dati dal sistema infetto, che poi non utilizza; secondo i ricercatori di ESET questa tecnica viene attuata nel tentativo di eludere il rilevamento dei software di sicurezza.

Stealth Falcon è un gruppo attivo dal 2012 le cui attività vengono costantemente controllate dal Citizen Lab, un'organizzazione no profit che si dedica alla sicurezza e ai diritti umani, che ha pubblicato un'analisi su un particolare attacco informatico nel 2016. Nel gennaio del 2019, Reuters ha divulgato un rapporto investigativo sul Progetto Raven, un'iniziativa che presumibilmente impiega ex agenti della NSA e indirizzata sugli stessi tipi di obiettivi di Stealth Falcon.

Sulla base di questi due rapporti riferiti agli stessi obiettivi e attacchi, il Senior Technologist di Amnesty International Claudio Guarnieri ha concluso che Stealth Falcon e Project Raven sono effettivamente lo stesso gruppo.

ESET | Stealth Falcon |



Commenta l'articolo

 

Potrebbe anche interessarti

Exaramel, la nuova backdoor che prova il collegamento tra Industroyer e (Not)Petya


Telefoni criptati anti intercettazione: funzionalità e curiosità


ESET premiata da AV-Comparatives per le soluzioni di sicurezza business e consumer


ESET inaugura la nuova linea di soluzioni per la sicurezza aziendale


Le spie di Turla sfruttano Adobe per diffondere i loro malware


ESET inaugura la nuova suite di soluzioni per la sicurezza aziendale


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Quando la ricetta di cucina diventa pericolosa: scoperto Casbaneiro, il banking trojan che ruba i dati del conto sfruttando YouTube

Quando la ricetta di cucina diventa pericolosa: scoperto Casbaneiro, il banking trojan che ruba i dati del conto sfruttando YouTube
I ricercatori di ESET hanno individuato Casbaneiro, un trojan bancario progettato per ingannare le vittime, proponendo la visualizzazione di finte finestre popup che tentano di convincere i malcapitati a inserire dati sensibili con il fine di sottrarli ed utilizzarli in maniera fraudolenta.   La particolarità di questo malware sta nel fatto che sfrutta illegittimamente YouTube per (continua)

Sei sicuro di aver cancellato definitivamente il contenuto del tuo Hard Disk?

Sei sicuro di aver cancellato definitivamente il contenuto del tuo Hard Disk?
Avete mai visto un film di hacker? Sicuramente una delle scene più classiche è quella in cui i criminali colti in flagrante tentato di portare via o di cancellare tutti i dischi prima che cadano nelle mani delle forze dell’ordine. A volte li si vede avvicinare dei magneti agli Hard Disk o tentare di distruggerli fisicamente con un trapano. In alternativa, però possono (continua)

Sednit: individuati nuovi componenti della famiglia di malware Zebrocy

Sednit: individuati nuovi componenti della famiglia di malware Zebrocy
I ricercatori di ESET hanno individuato nuovi componenti di Zebrocy, la famiglia di malware utilizzata dal famigerato gruppo Sednit, noto anche come APT28, Fancy Bear, Sofacy o STRONTIUM. Operativo almeno dal 2004, negli ultimi anni questo gruppo è spesso salito alla ribalta con attacchi di alto profilo come ad esempio nel 2016, quando il Dipartimento di Giustizia degli Stati Uniti ha acc (continua)

IPTV oscurate dall’operazione “Eclissi”

IPTV oscurate dall’operazione “Eclissi”
Ha destato grande scalpore in questi giorni la chiusura delle famose IPTV, i canali streaming per la visione illegale dei contenuti pay per view. Il fenomeno che negli ultimi anni ha condotto oltre 5 milioni di persone in tutta Europa a scegliere la via dei contenuti pirata, a fronte di esborsi economici minimi, sembra aver chiuso definitivamente i battenti. Dopo il successo ai danni della rete (continua)

ESET partecipa al CyberTech Europe 2019

ESET partecipa al CyberTech Europe 2019
ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, partecipa al CyberTech Europe 2019, la conferenza più importante dell'anno per gli esperti di tecnologia e sicurezza informatica, che apre i battenti oggi, 24 settembre, presso La Nuvola Convention Center di Roma. ESET è presente con un proprio stand, presso cui sarà possib (continua)