{"id":1512,"date":"2019-09-17T15:55:34","date_gmt":"2019-09-17T15:55:34","guid":{"rendered":"http:\/\/blogs.uo.edu.cu\/seginf\/?p=1512"},"modified":"2019-09-17T15:55:34","modified_gmt":"2019-09-17T15:55:34","slug":"malware-malware-utiliza-el-servicio-bits-de-windows-para-robar-datos","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=1512","title":{"rendered":"Malware Malware utiliza el servicio BITS de Windows para robar datos."},"content":{"rendered":"

\n\t\"\"<\/a>Los intentos de robar datos no cesan, recordemos que la información es uno de los tesosros más valiosos que hoy tiene la jumanidad y es un resultado social, en tanto forma parte de la creación humana. El artículo que se reproduce a continuación muestra como se utiliza un servicio de Windows para ese fin.\n<\/p>\n

<\/p>\n

\n\tEl grupo Stealth Falcon<\/em>, patrocinado por el estado, es conocido por atacar a periodistas, activistas y personas detractoras del sistema con spyware<\/em>. Este grupo centra su actividad principalmente en el Medio Oriente, más concretamente en los Emiratos Árabes Unidos (EAU).\n<\/p>\n

\n\tWin32\/StealthFalcon<\/strong> se comunica y envía los datos recopilados a los servidores de comando y control (C&C<\/em>) a través del servicio de transferencia inteligente en segundo plano de Windows<\/em> (BITS).\n<\/p>\n

\n\tBITS es un componente de Windows<\/em> que aprovecha el ancho de banda no utilizado para la transferencia, en primer o segundo plano, de archivos. Esta utilidad es muy utilizada por actualizadores de software<\/em> en Windows 10<\/em> y permite reanudar la transferencia de los archivos en caso de interrupciones<\/strong>. Además, al ser un sistema integrado en Windows<\/em> es más sencillo que un Firewall<\/em> no lo bloquee, lo que ha hecho que, durante 4 años, nadie se percatase de este malware<\/em>.\n<\/p>\n

\n\tSegún investigadores de ESET, dado que la velocidad de envío de los archivos se ajusta automáticamente y que escapa de las medidas de seguridad habitualmente configuradas, este <\/strong>malware<\/strong><\/em> puede operar en segundo plano sin ser detectado y sin modificar la experiencia de uso del usuario.<\/strong>\n<\/p>\n

\n\tPero la puerta trasera Win32\/StealthFalcon no solo realiza la transferencia de archivos en segundo plano, primero crea una copia cifrada de los archivos y la carga en el servidor C&C<\/em> a través de BITS.\n<\/p>\n

\n\tUna vez cargados los archivos, el malware<\/em> elimina todos los archivos de registro y los sobrescribe con datos aleatorios para dificultar el análisis forense y evitar la recuperación de los archivos.\n<\/p>\n

\n\tComo explican en el informe, no ha sido diseñado solo para robar datos de los sistemas infectados, también puede ser utilizado por los atacantes para descargar herramientas maliciosas y actualizar la configuración mediante el servidor C&C<\/strong>.\n<\/p>\n

\n\tFuente: unaaldia.hispasec.com\n<\/p>\n

\n\t <\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

Los intentos de robar datos no cesan, recordemos que la información es uno de los tesosros más valiosos que hoy tiene la jumanidad y es un resultado social, en tanto forma parte de la creación humana. El artículo que se … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,49,36,14,15,28],"tags":[],"class_list":["post-1512","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-ciberataque","category-competencia-informatica","category-incidentes","category-informaciones","category-seguridad-informatica"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1512","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1512"}],"version-history":[{"count":1,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1512\/revisions"}],"predecessor-version":[{"id":1514,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1512\/revisions\/1514"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1512"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1512"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1512"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}