Аналитики ESET сообщили, что нашли новый инструмент Stealth Falcon: малварь использует службу Windows BITS для взаимодействия со своим управляющим сервером.

Обычно Background Intelligent Transfer Service (BITS) используется Microsoft для работы с Windows Update и, когда пользователь не использует свое сетевое соединение, во время простоя происходит обновление ОС. Другие приложения также могут применять BITS для загрузки собственных обновлений.

Обнаруженному вредоносу исследователи присвоили идентификатор Win32/Stealth Falcon. Он действует как базовый бэкдор и позволяет своим операторам загружать и запускать дополнительный код на зараженных хостах или передавать данные на удаленные серверы.

Однако с управляющим сервером малварь связывается не через классические HTTP или HTTPS, но скрывает свой трафик внутри BITS. Исследователи полагают, что это сделано с целью обхода защитных решений, так как они, как правило, игнорируют BITS-трафик, зная, что тот содержит лишь обновления.

В остальном малварь ведет себя весьма тривиально. По-видимому, бэкдор был создан еще в 2015 году, так как для связи с управляющим сервером он использует домены, которые использовались еще PowerShell-бэкдором, описанном еще в отчете Citizen Lab.

https://xakep.ru/2019/09/10/win32-stealth-falcon/