BITSLOTH, nuova backdoor Windows, sfrutta BITS per C2, cyber attacco, REF8747
Un nuovo malware chiamato BITSLOTH è stato scoperto dai ricercatori di Elastic Security Labs. Questa backdoor sfrutta il servizio di sistema Windows Background Intelligent Transfer Service (BITS) come canale di comunicazione con il server di comando e controllo (C2).
Il malware, che sembra essere in sviluppo dal dicembre 2021, è stato utilizzato in un attacco informatico contro un ministero degli esteri di un paese sudamericano. I ricercatori hanno identificato il gruppo di attacchi come REF8747.
BITSLOTH è dotato di una vasta gamma di funzionalità, tra cui keylogging, acquisizione dello schermo, esecuzione di comandi, download e upload di file, raccolta di informazioni e altro ancora. Il malware utilizza tecniche di side-loading per nascondersi all'interno di file legittimi.
Un aspetto particolarmente preoccupante è l'utilizzo di BITS come canale di comunicazione. Poiché molte organizzazioni non monitorano attentamente il traffico BITS, questo metodo rende difficile l'individuazione del malware.
Gli autori di BITSLOTH sembrano essere di madrelingua cinese, come suggerito da alcune stringhe di codice trovate nel malware. Inoltre, il malware utilizza strumenti come RingQ per la crittografia e iox per il forwarding delle porte, entrambi collegati ad altre attività di cyber spionaggio attribuite a gruppi cinesi.
La scoperta di BITSLOTH sottolinea l'importanza di mantenere aggiornati i sistemi operativi e le applicazioni, nonché di utilizzare soluzioni di sicurezza avanzate per proteggersi da nuove minacce.