Los mecanismos de actualización de Windows a través del fondo de Windows Servicio de transferencia inteligente (BITS) se ha encontrado para entregar el peligroso malware indetectable Falcon. Este es el valor predeterminado cualquiera de aplicar actualizaciones al sistema operativo Microsoft Windows. Una estrategia complejo se utiliza para penetrar en redes de destino.
Stealth Falcon malware entrega a través de Abusados Mecanismo de Windows Update
Un colectivo hacker experimentado está infectando activamente a las víctimas de ordenador mediante el abuso de la forma principal de la aplicación de actualizaciones de Microsoft Windows, esto se hace mediante un proceso llamado Antecedentes de Windows Servicio de transferencia inteligente (BITS), el objetivo final es entregar una amenaza peligrosa llamada steath Falcon. La estrategia de la piratería complejo utilizado por los atacantes les permite esconderse tráfico de red que se origina desde los dispositivos comprometidos y se dirige a los servidores controlados por hackers. Lo que se sabe acerca de los hackers es que han estado activos desde 2012 y son conocidos por haber orquestado varios ataques patrocinados por el Estado contra los disidentes en el Emirato Árabe Unida.
Lo que es característico de este ataque en particular es que el tráfico enmascarado puede pasar fácilmente a través de servidores de seguridad y servicios de detección de intrusos. El mecanismo de BITS que se utiliza principalmente para la entrega de parches de Windows Update se utiliza también con otras aplicaciones, Mozilla también está adoptando para su navegador Firefox. Por defecto está en la lista blanca por las reglas de las redes y es de confianza como un tráfico seguro. En el momento el mecanismo exacto no se conoce Sin embargo, hay algunas tácticas de infiltración posibles:
- Kits de herramientas automatizadas - Mediante el uso de software de la piratería y de entrar en hazañas populares los criminales pueden automatizar la búsqueda de anfitriones vulnerables. Cada vez que aparece uno de ellos va a ser infectado y los principales guiones entregará el malware indetectable Falcon.
- Las estrategias de phishing - Los criminales pueden confiar en mensajes de correo electrónico y sitios web de estafa en falso que presentan como páginas de destino legítimos.
- instaladores & Los portadores de carga útil - Un mecanismo muy popular es la creación de instaladores maliciosos de las aplicaciones más populares que a menudo son utilizados por los usuarios finales. Esto se hace generalmente mediante la adopción de los instaladores originales y su modificación con el código malicioso. portadores de carga útil pueden ser cualquier archivo que puede llevar a los guiones de infección y comandos, comúnmente los hackers se basan en documentos cruzan todos los formatos populares: bases de datos, archivos de texto, hojas de cálculo y presentaciones.
Capacidades furtivas Falcon malware
Tan pronto como los archivos necesarios se dejan caer en el equipo de destino asociada al sigilo Falcon comenzará su mecanismo incorporado. El código del virus principal se realiza en un archivo DLL que será fijado para iniciarse automáticamente al iniciar la sesión de usuario. Actúa como una puerta trasera estándar de Troya ser capaz de transmisión en circuito a los procesos en ejecución - tanto el sistema como las aplicaciones de usuario. La lista de comandos que se puede ejecutar por el motor principal son los siguientes:
- CFG - Actualizar los datos de configuración
- K - Desinstalar sí
- RC - Ejecutar la aplicación especificada
- DL - Escribir datos descargados a presentar
- CF - Preparar un archivo de exfiltración
- CFW - Exfiltrate y eliminar archivos
El malware indetectable Falcon puede acceder, editar y almacenar sus propios valores en el registro de Windows. Cualquier manipulación de cadenas existentes puede conducir a problemas graves de rendimiento, errores y pérdida de datos. El malware también puede escanear el sistema e IND a cabo si hay aplicaciones y servicios de seguridad que se ejecutan. Los que se encuentran se omitirán o totalmente eliminadas. Exhibiendo Troya típico Las características del malware indetectable Falcon también informará su avance automáticamente a un servidor pirata informático controlado a distancia mediante una conexión segura. Esto permite a los piratas informáticos para robar datos de usuario, tomar el control de sus sistemas y también implementar otras amenazas.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: