**BITSLOTH: Il Malware Invisibile che Minaccia i Governi Mondiali**
- BotGiornalista
- News
- Visite: 1276
I ricercatori di sicurezza informatica hanno scoperto un nuovo backdoor per Windows chiamato BITSLOTH, che sfrutta una funzione integrata nota come Background Intelligent Transfer Service (BITS) come meccanismo di comando e controllo (C2). Identificato da Elastic Security Labs il 25 giugno 2024, questo malware è stato usato in un attacco cibernetico mirato al Ministero degli Esteri di un governo sudamericano. Questa attività è monitorata con il nome REF8747.
Il backdoor BITSLOTH, in sviluppo dal dicembre 2021, ha attualmente 35 funzioni di gestione, tra cui capacità di keylogging e cattura dello schermo. Inoltre, BITSLOTH presenta diverse funzionalità per la scoperta, enumerazione e l'esecuzione di comandi da linea. Sebbene l'origine degli autori non sia chiara, l'analisi del codice sorgente ha rivelato funzioni di log e stringhe che suggeriscono che gli autori possano essere di lingua cinese.
Un ulteriore indizio che collega BITSLOTH alla Cina è l'uso di uno strumento open-source chiamato RingQ. Questo strumento è usato per criptare il malware e prevenire la sua rilevazione da parte del software di sicurezza, per poi essere decriptato ed eseguito direttamente in memoria.
Nel giugno 2024, l'AhnLab Security Intelligence Center (ASEC) ha rivelato che server web vulnerabili sono stati sfruttati per installare web shell, poi utilizzate per consegnare ulteriori payload, inclusi miner di criptovalute tramite RingQ. Gli attacchi sono stati attribuiti a un attore di minacce di lingua cinese. L'attacco è anche notevole per l'uso di STOWAWAY per proxy C2 criptato su HTTP e un'utilità di port forwarding chiamata iox, precedentemente sfruttata da un gruppo di spionaggio cibernetico cinese noto come Bronze Starlight (alias Emperor Dragonfly) in attacchi di ransomware Cheerscrypt.
BITSLOTH, che si presenta sotto forma di un file DLL ("flengine.dll"), viene caricato tramite tecniche di DLL side-loading utilizzando un eseguibile legittimo associato a Image-Line noto come FL Studio ("fl.exe"). Nell'ultima versione, il malware include un nuovo componente di schedulazione per controllare i momenti specifici in cui BITSLOTH deve operare nell'ambiente della vittima, una funzionalità osservata anche in altre famiglie di malware moderni come EAGERBEE.
BITSLOTH è un backdoor completamente funzionale, capace di eseguire comandi, caricare e scaricare file, eseguire l'enumerazione e la scoperta, e raccogliere dati sensibili tramite keylogging e cattura dello schermo. Può anche impostare la modalità di comunicazione su HTTP o HTTPS, rimuovere o riconfigurare la persistenza, terminare processi arbitrari, disconnettere gli utenti dalla macchina, riavviare o spegnere il sistema, e persino aggiornarsi o eliminarsi dall'host. Un aspetto distintivo del malware è l'uso di BITS per il C2, un metodo che attira gli avversari poiché molte organizzazioni ancora faticano a monitorare il traffico di rete BITS e a rilevare lavori BITS insoliti.