Trojan Stealth Falcon mai così pericoloso, passa per Windows Update!

di Nikolas Pitzolu 0

Trojan Stealth Falcon si evolve e questa volta potrebbe essere davvero invisibile agli antivirus in quanto passante per la stessa via di Windows Update.

Innanzi tutto cos’è un trojan?

Un trojan – chiamato anche trojan horse – si traduce in Italiano come cavallo di Troia ed è un malware catalogato spesso generalizzando come virus, che sfrutta le falle del sistema, ma anche gli errori umani, in modo tale da raggirarli.

Il trojan si fa strada lungo i software nascondendo il suo codice malevole all’interno di un altro programma che il sistema non percepisce come una minaccia. E ancora, l’utente ignaro, andando ad approvare il permesso per un programma che a lui pare normale, in effetti attiva anche il codice del trojan creato ad hoc e lo raggira pur avendo i permessi.

Questa premessa per informarvi che un malware chiamato Stealth Falcon, che è da circa 7 anni che circola rindondante nei sistemi Windows, si è evoluto ancora arrivando nelle ultime ore ad intrufolarsi nel servizio Windows Update (BITS), il servizio di Redmond per la distribuzione di aggiornamenti sui prodotti Microsoft, andando così ad essere non essere rilevabile, come afferma il suo nome: stealth.

ESET, la famosa software house di sicurezza che ha all’attivo l’antivirus Nod 32, ne indica la sua pericolosità menzionando i fatti avvenuti nel 2016 per via della campagna di spionaggio Americana avvenuta nello stesso anno che lo hanno utilizzato per carpire informazioni dal governo degli Emirati Arabi Uniti, in merito alla ricerca di talpe in possesso di informazioni filo-governative.

ESET continua affermando che la sua documentazione inerente il malware, rileva come il “virsu” sia sistematico e cerchi di carpire più informazioni possibili per tutta la durata della sua azione, cercando di non lasciare traccia. Un’altra azione che compie frequentemente è quella di iniettare una grande mole di dati e, spiegando tra poco il perché, in maniera invisibile!

Invisibile perché Stealth Falcon ora è più capace di non lasciare traccia in quanto le informazioni che ruba sono trasferite sul server malevolo, chiamato Command ad Control, che vengono spostate utilizzando il BITS che è utilizzato da Microsoft per far funzionare Windows Update e scaricare ed installare gli aggiornamenti del sistema e legati alle applicazioni.

Da sempre BITS è stato utilizzato da Microsoft per trasportare grandi quantità dei dati (Windows 10 docet!) e lo Stealth Falcon ora può fare altrettanto non dando nell’occhio perché il servizio è autorizzato di default da Microsoft in quanto lei stessa a distribuire aggiornamenti ufficiali su quel canale.

E infine, come si fa a proteggersi? Al momento Microsoft non ha detto nulla a riguardo ma proprio in questo momento Stealth Falcon ha libero accesso tramite il servizio Windows Update. Da Redmond la soluzione più semplice sarebbe quella di applicare il firewall al servizio, controllando e scansionando tutti gli aggiornamenti prima della relativa installazione.

Vedremo cosa succederà, vi terremo aggiornai. Nel mentre occhio a Windows Update e a “nomi strani” degli aggiornamenti presenti nella lista raggiungibile dalle impostazioni, aggiornamento e sicurezza, windows update.

Commentando dichiari di aver letto e di accettare tutte le regole sulla discussione degli articoli nei nostri blog.