Os hackers agora contornam os firewalls usando um componente legítimo do sistema operacional Windows chamado Background Intelligent Transfer Service (BITS), instalando malware nele.
Em 2020, hospitais, centros médicos e lares de idosos sofreu de uma campanha de phishing em constante mudança que espalhou o backdoor KEGTAP, que abriu caminho para ataques de ransomware Ryuk.
FireEye Mandiant recentemente descoberto um mecanismo até então desconhecido que permite que o KEGTAP persista usando o componente BITS.
Introduzido pela primeira vez no Windows XP, BITS é um serviço inteligente de transferência de arquivos em segundo plano entre um cliente e um servidor HTTP que consome porções não utilizadas da largura de banda da rede. O BITS é comumente usado para fornecer atualizações do sistema operacional aos clientes.
Além disso, ele é usado pelo Windows Defender Antivirus Scanner para obter atualizações para assinaturas de malware. Além dos próprios produtos da Microsoft, o serviço também é usado por outros aplicativos, como o Mozilla Firefox, para continuar baixando em segundo plano mesmo quando o navegador está fechado.
As transferências BITS também podem ser agendadas, permitindo que aconteçam em horários específicos sem depender de processos demorados ou de um agendador de tarefas.
Os sistemas já comprometidos são carregados com o ransomware Ryuk que usa BITS para criar um novo trabalho como uma atualização do sistema configurada para executar o executável mail.exe, que por sua vez inicia o backdoor KEGTAP após tentar carregar um URL inválido.
Conforme observado pelos pesquisadores, o trabalho malicioso do BITS foi configurado para enviar um arquivo inexistente do host local por HTTP.
Deixe-me lembrar que também falei sobre o fato de que O Google Project Zero descobriu uma vulnerabilidade de dia 0 no kernel do Windows.
