Los piratas informáticos ahora evitan los firewalls utilizando un componente legítimo del sistema operativo Windows llamado Servicio de transferencia inteligente en segundo plano. (BITS), instalar malware en él.
En 2020, hospitales, centros médicos y residencias de ancianos sufrió de una campaña de phishing en constante cambio que difundió la puerta trasera de KEGTAP, que abrió el camino para los ataques de ransomware Ryuk.
FireEye Mandiant recientemente descubierto un mecanismo previamente desconocido que permite que KEGTAP persista usando el componente BITS.
Introducido por primera vez en Windows XP, BITS es un servicio inteligente de transferencia de archivos en segundo plano entre un cliente y un servidor HTTP que consume partes no utilizadas del ancho de banda de la red.. BITS se usa comúnmente para entregar actualizaciones del sistema operativo a los clientes..
Además, Lo utiliza el escáner antivirus de Windows Defender para obtener actualizaciones de firmas de malware.. Además de los productos propios de Microsoft, El servicio también lo utilizan otras aplicaciones como Mozilla Firefox para seguir descargando en segundo plano incluso cuando el navegador está cerrado..
También se pueden programar transferencias de BITS, permitiendo que sucedan en momentos específicos sin depender de procesos largos o un programador de tareas.
Los sistemas ya comprometidos están cargados con el ransomware Ryuk que utiliza BITS para crear un nuevo trabajo como una actualización del sistema configurada para ejecutar el ejecutable mail.exe., que a su vez inicia la puerta trasera KEGTAP después de intentar cargar una URL no válida.
Como señalaron los investigadores., el trabajo BITS malicioso se configuró para enviar un archivo inexistente desde el host local a través de HTTP.
Permítanme recordarles que también hablé del hecho de que Google Project Zero descubrió una vulnerabilidad de día 0 en el kernel de Windows.
