Home > Informatica > ESET: la nuova backdoor Stealth Falcon sfrutta Windows Update per eludere i software di sicurezza

ESET: la nuova backdoor Stealth Falcon sfrutta Windows Update per eludere i software di sicurezza

scritto da: Elygiuliano | segnala un abuso

ESET: la nuova backdoor Stealth Falcon sfrutta Windows Update per eludere i software di sicurezza


I ricercatori di ESET hanno individuato una nuova backdoor collegata al malware utilizzato dal gruppo Stealth Falcon, autore di diversi attacchi spyware mirati contro giornalisti, attivisti e dissidenti in Medio Oriente, soprattutto negli Emirati Arabi Uniti.

Questa backdoor, chiamata Win32 / StealthFalcon, per comunicare con il server C&C utilizza una tecnica piuttosto insolita, ovvero il Background Intelligent Transfer Service (BITS) di Windows. Questo componente è stato progettato per trasferire grandi quantità di dati limitando l’impatto sulla banda di rete, in modo da non influire sul trasferimento dati di altre applicazioni. Per questa sua particolare caratteristica, il protocollo BITS è comunemente usato per effettuare aggiornamenti di software e di altre applicazioni – come messenger - progettate per operare in background. Questo significa che è più probabile che le attività del BITS non vengano filtrate da eventuali firewall o software di sicurezza. Inoltre, rispetto al sistema di comunicazione tradizionale tramite funzioni API, il meccanismo BITS opera attraverso un'interfaccia COM ed è quindi più difficile da rilevare per un prodotto di sicurezza. Sfruttando queste caratteristiche, Stealth Falcon riesce ad operare in background in modo furtivo, passando inosservato ad eventuali controlli di sicurezza.

Oltre all’utilizzo di BITS, Stealth Falcon si distingue anche poiché, prima dell’avvio del payload principale, importa una grande quantità di dati dal sistema infetto, che poi non utilizza; secondo i ricercatori di ESET questa tecnica viene attuata nel tentativo di eludere il rilevamento dei software di sicurezza.

Stealth Falcon è un gruppo attivo dal 2012 le cui attività vengono costantemente controllate dal Citizen Lab, un'organizzazione no profit che si dedica alla sicurezza e ai diritti umani, che ha pubblicato un'analisi su un particolare attacco informatico nel 2016. Nel gennaio del 2019, Reuters ha divulgato un rapporto investigativo sul Progetto Raven, un'iniziativa che presumibilmente impiega ex agenti della NSA e indirizzata sugli stessi tipi di obiettivi di Stealth Falcon.

Sulla base di questi due rapporti riferiti agli stessi obiettivi e attacchi, il Senior Technologist di Amnesty International Claudio Guarnieri ha concluso che Stealth Falcon e Project Raven sono effettivamente lo stesso gruppo.


Fonte notizia: https://blog.eset.it/2019/09/eset-ha-scoperto-una-nuova-backdoor-utilizzata-dal-famigerato-gruppo-stealth-falcon/


ESET | Stealth Falcon |



Commenta l'articolo

 

Potrebbe anche interessarti

Exaramel, la nuova backdoor che prova il collegamento tra Industroyer e (Not)Petya


Telefoni criptati anti intercettazione: funzionalità e curiosità


ESET premiata da AV-Comparatives per le soluzioni di sicurezza business e consumer


ESET presenta la nuova linea di soluzioni di sicurezza per gli utenti privati


ESET presenta ESET Full Disk Encryption, la soluzione di crittografia che protegge i dati sia nel mondo reale che in quello digitale


ESET inaugura la nuova linea di soluzioni per la sicurezza aziendale


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Avast rafforza la difesa contro gli attacchi ransomware nella sua linea di prodotti

Avast rafforza la difesa contro gli attacchi ransomware nella sua linea di prodotti
Durante il lockdown, Avast ha registrato un aumento del 20% degli attacchi ransomware sferrati sfruttando il protocollo RDP Avast, leader globale nella sicurezza e nella privacy digitale, ha rilasciato una nuova versione dei suoi prodotti di sicurezza per rispondere alla recente impennata globale di ransomware avvenuta durante la pandemia da coronavirus. Nello specifico Avast ha introdotto il nuovissimo Remote Access Shield per Avast Premium Security e ha aggiunto Ransomware Shield, precedentemente disponibile so (continua)

App di incontri: gli esperti di Avast spiegano come proteggere la propria privacy

App di incontri: gli esperti di Avast spiegano come proteggere la propria privacy
Recentemente sono trapelate le informazioni relative a cinque diversi siti di incontri che hanno esposto milioni di dati privati dei loro utenti, residenti principalmente negli Stati Uniti, Corea e Giappone a maggio molte altre app di appuntamenti di nicchia come CougarD e 3Somes hanno subito violazioni dei dati che hanno esposto centinaia di migliaia di informazioni degli utenti, tra cui foto e registrazioni audio. Quest’ultimo evento si è verificato grazie a un bucket di archiviazione Amazon S3 non configurato correttamente. Per fortuna, dopo le segnalazioni di diversi esperti di sicurezza il (continua)

Come tenersi aggiornati sulle mutevoli esigenze delle famiglie per continuare a fornire servizi utili e di valore

Come tenersi aggiornati sulle mutevoli esigenze delle famiglie per continuare a fornire servizi utili e di valore
Nel corso degli anni, i produttori hanno affrontato e superato molte sfide man mano che la tecnologia si evolveva, basti pensare al numero crescente di piattaforme per i nuovi smartphone, computer e gadget IoT. A complicare le cose, i fornitori di rete hanno vissuto il passaggio dalla banda larga al 5G, aggiungendo ulteriore complessità al cambiamento tecnologico. Per rimanere competitive, le aziende devono essere in grado di adattarsi e adeguarsi alle nuove tendenze del settore per continuare il ciclo di innovazione. Comprendere le esigenze del cliente è la chiave di questa trasformazione sia per i produttori che per i fornitori, al fine di rimanere all'avanguardia nel progresso tecnologico.E’ così anche per le mutevoli esigenze dei genitori, basate sul ca (continua)

Avast registra l’aumento del 51% nell'utilizzo di spyware e stalkerware durante il lockdown

Avast registra l’aumento del 51% nell'utilizzo di spyware e stalkerware durante il lockdown
Nel periodo marzo-giugno 2020, Avast ha protetto da questo tipo di malware oltre 43.000 utenti in tutto il mondo. I tre consigli da seguire per mitigare la minaccia dello stalkerware I ricercatori di Avast, leader mondiale della sicurezza informatica, hanno riscontrato un aumento del 51% nell'uso di spyware e stalkerware da marzo a giugno 2020 rispetto al periodo gennaio/febbraio dello stesso anno. Lo stalkerware è un tipo di software non etico che consente alle persone di tracciare la posizione di qualcuno, accedere a foto e video personali, intercettare e-mail, messaggi e co (continua)

Il trojan bancario Cerberus spunta sul Play Store

Il trojan bancario Cerberus spunta sul Play Store
Camuffato da app di conversione valuta, è stato scaricato più di 10.000 volte I ricercatori del team Mobile Threat Labs di Avast, leader mondiale della sicurezza informatica, hanno scoperto il trojan bancario Cerberus su Google Play, camuffato all’interno dell’applicazione legittima "Calculadora de Moneda", scaricata più di 10.000 volte dagli utenti Android in Spagna.Secondo i ricercatori di Avast, l’applicazione ha nascosto le sue intenzioni maligne per le prime settimane (continua)