Puerta trasera de Windows: Las amenazas explotan los BITS como mecanismo C2
Según informes recientes, investigadores de ciberseguridad de Elastic Security Labs han descubierto una nueva puerta trasera de Windows. Aprovecha una función integrada llamada Background Intelligent Transfer Service (BITS), utilizándola como mecanismo de mando y control (C2). En este artículo, nos sumergiremos en los detalles del backdoor de Windows y conoceremos las amenazas que conlleva. Comencemos.
Descubrimiento inicial de la puerta trasera de Windows BITS
Según la información disponible, la puerta trasera de Windows fue identificada el 25 de junio de 2024 por investigadores de seguridad de Elastic Labs. Cabe mencionar aquí que este descubrimiento se produjo en relación con un ataque dirigido a un ministro de Asuntos Exteriores de Sudamérica que sigue sin especificarse.
Actualmente, el clúster de actividad está siendo rastreado con el apodo REF8747. Los investigadores Seth Goodwin y Daniel Stepanic han proporcionado detalles sobre la puerta trasera de Windows del malware BITSLOTH:
"La iteración más actual del backdoor en el momento de esta publicación tiene 35 funciones de manipulador, incluyendo capacidades de keylogging y captura de pantalla. Además, BITSLOTH contiene muchas funciones diferentes de descubrimiento, enumeración y ejecución de línea de comandos."
El malware BITSLOTH
BITSLOTH, la herramienta utilizada por los autores de la amenaza para recopilar datos, lleva en desarrollo desde 2021. Aunque se desconoce la identidad de quienes están detrás del malware de puerta trasera de Windows BITSLOTH, ciertas funciones y cadenas de registro apuntan a la posibilidad de que los autores sean de habla china.
Este vínculo se ve reforzado por el uso frecuente de otra herramienta llamada RingQ. Los actores chinos del ciberespionaje utilizan RingQ principalmente para cifrar el malware de modo que pase desapercibido y pueda ser descifrado y ejecutado directamente en la memoria. En cuanto al malware BITSLOTH, toma forma en un archivo DLL llamado "flengine.dl"
Cadena de ataque y capacidades del malware BITSLOTH
Para iniciar el ataque, el archivo DLL se carga mediante una técnica de carga lateral asociada a un ejecutable. El ejecutable está asociado a un Image-Line conocido como FL Studio (fl.exe). Aparte de esto, los actores de la amenaza han añadido un nuevo componente de programación al malware BITSLOTH.
Este componente les da la capacidad de controlar cuándo debe operar el malware en un entorno objetivo, y la característica se ha observado con otros malware como EAGERBEE.
En cuanto a las capacidades del malware BITSLOTH backdoor de Windows, puede realizar una variedad de acciones maliciosas respaldadas por intenciones que incluyen:
- Adquisición de datos sensibles.
- Reconfiguración de la persistencia.
- Terminación de procesos arbitrarios.
- Carga y descarga de archivos.
- Ejecutar y ejecutar comandos.
- Registro de teclas y captura de pantallas.
- Reiniciar o apagar el dispositivo.
- Realización de la enumeración y el descubrimiento.
- Cerrar la sesión de los dispositivos de las víctimas.
- Cambiar los modos de comunicación a HTTP o HTTPS.
- Actualizarse o borrarse de los sistemas comprometidos.
Los interesados en garantizar la protección frente a las ciberamenazas deben comprender que el uso de la puerta trasera de Windows BITS para realizar exploits es factible para los actores de amenazas, dado que el tráfico de red de BITS es difícil de supervisar. Merece la pena mencionar que estos datos deben tenerse en cuenta a la hora de desarrollar una estrategia de ciberseguridad.
Conclusión
El descubrimiento del malware BITSLOTH pone de relieve las capacidades de los ciberdelincuentes que explotan BITS como mecanismo C2. Las organizaciones deben mejorar las medidas de ciberseguridad, vigilar diligentemente el tráfico de red y mantenerse informadas para defenderse de amenazas tan sofisticadas.
Las fuentes de este artículo incluyen artículos en The Hacker News y Elastic Security Labs.