O malware adapta-se cada vez mais para tentar ser descoberto por parte dos softwares de segurança, e um recente caso descoberto pela empresa de segurança ESET demonstra isso mesmo.
Recentemente foi descoberto um novo malware que utiliza o serviço BITS do Windows (Background Intelligent Transfer Service) para comunicar com servidores de controlo remoto, evitando a sua deteção por software de segurança tradicional.
O BITS é um componente existente nas mais recentes versões do Windows, que permite utilizar largura de banda não utilizada para certas atividades do sistema – como é o caso do download de atualizações, entre outras.
Utilizando este componente, um novo malware conhecido como “StealthFalcon” está a aproveitar-se para enviar e receber comandos de servidores remotos para sistemas infetados. Uma vez que o BITS é considerado um software legitimo do Windows, a maioria dos programas de segurança não realiza muitas análises ao mesmo, e o ataque é assim ocultado como tráfego legitimo do sistema operativo.
A maioria das firewalls também não realiza o bloqueio de tráfego a partir deste serviço, uma vez que ele é apenas utilizar normalmente para atualizações e outras atividades benignas. A deteção deste género de tráfego é complicada de ser feita pelos meios tradicionais.
Nenhum comentário
Seja o primeiro!