Una brecha de seguridad ha sido detectada en Windows 10 por el equipo de ESET. Esta, dio paso a ataques de un spyware basado en Powershell, dirigidos contra periodistas y activistas de Oriente Medio aprovechándose del servicio de transferencia de datos en segundo plano de Windows.

El grupo responsable opera bajo el nombre de Stealth Falcon, y según leemos en ZDnet ha estado funcionando desde el año 2012, habiendo realizado movimientos similares. Desde ESET, afirman haber encontrado una puerta trasera binaria bajo el nombre de Win32 / StrealthFalcon, que habría sido creada en el año 2015.

Un malware capaz de controlar el PC de forma remota

Dicha brecha de seguridad permitiría a los atacantes controlar el ordenador infectado de forma remota, habiéndose reportado ataques en Oriente Medio y alguna capital europea, como los Países Bajos. Lo más llamativo de la brecha es que se valía de BITS (Background Intelligent Transfer Service) para comunicarse con su servidor. BITS es el servicio de transferencia de archivos en segundo plano que utiliza Windows para, por ejemplo, distribuir actualizaciones de sistema operativo.

El malware tomaba la forma de archivo dll., y era capaz de robar información, eliminarla y cambiar la configuración del sistema infectado

En concreto, Win32 / StealthFalcon es un archivo DLL que se instala en el ordenador afectado, y se inicia como una tarea más cada vez que se inicia sesión. Mediante comandos básicos, es capaz de recopilar archivos, eliminarlos, escribir datos y actualizar los propios datos de configuración …