Il nuovo trojan backdoor Stealth Falcon è in grado di sfruttare un componente integrato nei sistemi operativi Windows per consentire ai criminal hacker di esfiltrare dati personali e riservati delle vittime e trasferirli ad un server di comando e controllo (C&C) gestito dai criminali stessi.
Identificato come Win32/StealthFalcon dai ricercatori di sicurezza di ESET che per primi ne hanno identificato le attività malevoli, il malware sarebbe stato “confezionato” dal gruppo criminale Stealth Falcon già attivo dal 2012 e famoso per le sue azioni di cyber spionaggio mediante l’uso di spyware ai danni di giornalisti, attivisti e dissidenti in Medio Oriente, soprattutto negli Emirati Arabi Uniti.
Indice degli argomenti
Stealth Falcon: come funziona la backdoor
Per raccogliere e inviare i dati rubati ai server remoti controllati dai criminal hacker, il malware utilizza il servizio Windows Background Intelligent Transfer Service (BITS) attivo di default nei sistemi operativi Microsoft.
BITS, in particolare, è un protocollo di comunicazione via Internet che utilizza la larghezza di banda inutilizzata per facilitare il trasferimento asincrono e prioritario di file tra macchine client e server, senza impattare sull’esperienza di navigazione dell’utente.
Per questa sua particolare caratteristica, il protocollo BITS è comunemente usato per la distribuzione degli aggiornamenti software, incluso il download di file dai server Microsoft e per installare aggiornamenti su Windows 10 e altre applicazioni progettate per operare in background.
Tipicamente il traffico generato mediante il protocollo BITS, proprio perché ritenuto attendibile, non viene filtrato da eventuali firewall o software di sicurezza.
Questo perché, rispetto alle comunicazioni tradizionali gestite tramite le funzioni API del sistema operativo, il protocollo BITS opera attraverso un’interfaccia di rete COM più difficile da rilevare per un prodotto di sicurezza.
BITS, inoltre, è in grado di regolare automaticamente la velocità di trasferimento dei dati per non “bruciare” risorse di sistema utili all’utente.
Sfruttando tutte queste caratteristiche, il malware Stealth Falcon riesce ad operare in background in modo furtivo senza sollevare alcun segnale rosso, passando inosservato ad eventuali controlli di sicurezza.
Così come avviene per gli aggiornamenti di sicurezza di Windows, inoltre, sfruttando il protocollo BITS anche il malware Stealth Falcon riesce a riprendere automaticamente il trasferimento dei file rubati in seguito ad una eventuale interruzione della connessione di rete, alla disconnessione dell’utente dal suo account Windows o al riavvio del sistema operativo.
Il malware Stealth Falcon, inoltre, invece di estrarre i dati raccolti in chiaro ne crea una copia criptata prima di trasferirli sul server di comando e controllo.
Per completare la sua azione malevola, Stealth Falcon provvede a cancellare automaticamente tutti i file di log e i file raccolti dopo averli riscritti con dati casuali. In questo modo, il malware riesce ad impedire qualsiasi analisi forense che fornisca gli indizi per risalire ai criminal hacker o il recupero dei dati cancellati.
Infine, secondo i ricercatori di sicurezza, Stealth Falcon potrebbe essere modificato in futuro dai criminal hacker per implementare ulteriori strumenti dannosi aggiornando la sua configurazione mediante comandi inviati tramite il server C&C.
In futuro, quindi, il malware potrebbe essere utilizzato per portare a termine attacchi ancora più complessi e distruttivi verso sistemi mirati.
I consigli per difendersi dal malware
Dall’analisi delle azioni malevoli di Stealth Falcon è evidente che nella creazione del nuovo malware i criminal hacker hanno sfruttato moderne tecniche di evasione e anti-analisi in modo da nascondere il codice malevolo ai software di controllo.
Per difendersi da una simile minaccia è dunque necessario utilizzare sistemi di difesa multi-layered dotati di strumenti di rilevamento delle minacce di tipo behavior-based (cioè basate su un’analisi comportamentale del probabile codice malevolo).
È importante, inoltre, adottare una corretta policy aziendale di threat intelligence che, in quanto dinamica, proattiva e disponibile in tempo reale, può aiutare a identificare le tendenze che mostrano l’evoluzione dei metodi di attacco.
Per i sistemisti e i responsabili della sicurezza IT aziendale può essere utile, inoltre, conoscere gli indici di compromissione (IoC) del malware:
Denominazioni del malware:
- ImageIndexer.dll
- WindowsBackup.dll
- WindowsSearchCache.dll
- JavaUserUpdater.dll
Percorsi di archiviazione dei file log:
- %TEMP%dsc*
- %TEMP%sld*
- %TEMP%plx*
Valori e chiavi di registro:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell Extensions
- X-MRUList
- X-MRUData
- X-FontDisposition
- X-IconDisposition
- X-IconPosition
- X-PopupPosition
- X is the malware’s filename (without extension).
Processi BITS:
- WindowsImages-
- WindowsBackup-
- WindowsSearchCache-
- ElectricWeb
Indirizzi dei server C&C:
- footballtimes[.]info
- vegetableportfolio[.]com
- windowsearchcache[.]com
- electricalweb[.]org
- upnpdiscover[.]org
