Pesquisadores de cibersegurança descobriram uma backdoor do Windows anteriormente não documentada, que aproveita um recurso integrado chamado Serviço de Transferência Inteligente em Segundo Plano (Background Intelligent Transfer Service - BITS) como um mecanismo de comando e controle (C2).
A nova cepa de malware foi apelidada de BITSLOTH pelos Laboratórios de Segurança da Elastic, que fizeram a descoberta em 25 de junho de 2024, em conexão com um ataque cibernético direcionado ao Ministério das Relações Exteriores não especificado de um governo sul-americano.
O cluster de atividades está sendo rastreado sob o codinome REF8747.
"A iteração mais atual da backdoor no momento desta publicação possui 35 funções de manipulação incluindo capacidades de keylogging e captura de tela," disseram os pesquisadores de segurança Seth Goodwin e Daniel Stepanic.
Além disso, o BITSLOTH contém muitos recursos diferentes para descoberta, enumeração e execução de linha de comando.
Avalia-se que a ferramenta – em desenvolvimento desde dezembro de 2021 – está sendo usada pelos atores de ameaças para fins de coleta de dados.
Atualmente não está claro quem está por trás disso, embora uma análise do código-fonte tenha revelado funções de registro e strings que sugerem que os autores possam ser falantes de chinês.
Outro possível vínculo com a China vem do uso de uma ferramenta de código aberto chamada RingQ.
O RingQ é usado para criptografar o malware e evitar a detecção por software de segurança, que é então descriptografado e executado diretamente na memória.
Em junho de 2024, o Centro de Inteligência de Segurança AhnLab (ASEC) revelou que servidores web vulneráveis estão sendo explorados para soltar web shells, que são então usados para entregar payloads adicionais, incluindo um minerador de criptomoedas via RingQ.
Os ataques foram atribuídos a um ator de ameaça de fala chinesa.
O ataque é também notável pelo uso de STOWAWAY para proxy de tráfego C2 criptografado sobre HTTP e uma utilidade de encaminhamento de porta chamada iox, esta última que já foi aproveitada por um grupo de ciberespionagem chinês chamado Bronze Starlight (também conhecido como Emperor Dragonfly) em ataques de ransomware Cheerscrypt.
O BITSLOTH, que assume a forma de um arquivo DLL ("flengine.dll"), é carregado por meio de técnicas de side-loading de DLL usando um executável legítimo associado à Image-Line conhecido como FL Studio ("fl.exe").
"Na versão mais recente, um novo componente de agendamento foi adicionado pelo desenvolvedor para controlar os horários específicos em que o BITSLOTH deve operar em um ambiente de vítima," disseram os pesquisadores.
Esta é uma característica que observamos em outras famílias de malware modernas, como EAGERBEE.
Uma backdoor totalmente equipada, o BITSLOTH é capaz de rodar e executar comandos, fazer upload e download de arquivos, realizar enumeração e descoberta, e coletar dados sensíveis por meio de keylogging e captura de tela.
Também pode definir o modo de comunicação para HTTP ou HTTPS, remover ou reconfigurar a persistência, terminar processos arbitrários, desconectar usuários da máquina, reiniciar ou desligar o sistema, e até mesmo se atualizar ou se deletar do host.
Um aspecto definidor do malware é seu uso do BITS para C2.
"Este meio é atraente para os adversários porque muitas organizações ainda lutam para monitorar o tráfego de rede do BITS e detectar trabalhos incomuns do BITS," adicionaram os pesquisadores.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...