Peneliti cybersecurity telah menemukan virus komputer baru yang terkait dengan kelompok spionase dunia maya yang disponsori negara Stealth Falcon yang menyalahgunakan komponen built-in dari sistem operasi Microsoft Windows untuk secara diam-diam melakukan eksfiltrasi data curian ke server yang dikendalikan oleh penyerang.
Aktif sejak 2012, Stealth Falcon adalah grup peretasan canggih yang dikenal karena menargetkan para jurnalis, aktivis, dan pembangkang dengan spyware di Timur Tengah, terutama di Uni Emirat Arab (UEA).
Dijuluki Win32 / StealthFalcon , dinamai setelah kelompok peretasan, malware berkomunikasi dan mengirim data yang dikumpulkan ke server perintah-dan-kontrol (C&C) jarak jauh menggunakan Windows Background Intelligent Transfer Service (BITS).
BITS adalah protokol komunikasi di Windows yang mengambil bandwidth jaringan yang tidak digunakan untuk memfasilitasi transfer file yang tidak sinkron, diprioritaskan, dan dibatasi antara mesin di latar depan atau latar belakang, tanpa memengaruhi pengalaman jaringan.
BITS umumnya digunakan oleh para pembaru perangkat lunak, termasuk mengunduh file dari server Microsoft atau rekan-rekan untuk menginstal pembaruan pada Windows 10, messenger, dan aplikasi lain yang dirancang untuk beroperasi di latar belakang.
Menurut peneliti keamanan di perusahaan keamanan cyber ESET, karena tugas BITS lebih mungkin diijinkan oleh firewall berbasis host dan fungsinya secara otomatis menyesuaikan kecepatan transfer data, ini memungkinkan malware untuk beroperasi secara diam-diam di latar belakang tanpa menaikkan tanda bahaya apa pun.
"Dibandingkan dengan komunikasi tradisional melalui fungsi API, mekanisme BITS diekspos melalui antarmuka COM dan karenanya lebih sulit untuk dideteksi oleh produk keamanan," kata para peneliti dalam sebuah laporan yang diterbitkan hari ini.
"Transfer dilanjutkan kembali secara otomatis setelah terganggu karena alasan seperti pemadaman jaringan, pengguna keluar, atau sistem reboot."
Selain itu, alih-alih mengelupaskan data yang dikumpulkan dalam teks biasa, malware terlebih dahulu membuat salinan terenkripsi dan kemudian mengunggah salinan ke server C&C melalui protokol BITS.
Setelah berhasil mengeksfiltrasi data yang dicuri, malware secara otomatis menghapus semua file log dan yang dikumpulkan setelah menulis ulang dengan data acak untuk mencegah analisis forensik dan pemulihan data yang dihapus.
Seperti yang dijelaskan dalam laporan, backdoor Win32 / StealthFalcon tidak hanya dirancang untuk mencuri data dari sistem yang dikompromikan tetapi juga dapat digunakan oleh penyerang untuk lebih jauh menyebarkan alat berbahaya dan memperbarui konfigurasinya dengan mengirim perintah melalui server C&C.
"Pintu belakang Win32 / StealthFalcon, yang tampaknya telah dibuat pada tahun 2015, memungkinkan penyerang untuk mengontrol komputer yang dikompromikan dari jarak jauh. Kami telah melihat sejumlah kecil target di UEA, Arab Saudi, Thailand, dan Belanda; dalam kasus terakhir , targetnya adalah misi diplomatik negara Timur Tengah, "kata para peneliti.
Menurut para peneliti, malware yang baru ditemukan ini berbagi server C&C dan basis kode dengan backdoor berbasis PowerShell yang dikaitkan dengan grup Stealth Falcon dan dilacak oleh Citizen Lab pada 2016.
Sumber Artikel : TheHackerNews
