New Malware Uses Windows BITS Service to Stealthy Exfiltrate Data

Mohit Kumar in 09/09/2019 - The Hackers News

Cybersecurity researchers have discovered a new computer virus associated with the Stealth Falcon state-sponsored cyber espionage group that abuses a built-in component of the Microsoft Windows operating system to stealthily exfiltrate stolen data to attacker-controlled server.

Active since 2012, Stealth Falcon is a sophisticated hacking group known for targeting journalists, activists, and dissidents with spyware in the Middle East, primarily in the United Arab Emirates (UAE).

Dubbed Win32/StealthFalcon, named after the hacking group, the malware communicates and sends collected data to its remote command-and-control (C&C) servers using Windows Background Intelligent Transfer Service (BITS).

BITS is a communication protocol in Windows that takes unused network bandwidth to facilitate asynchronous, prioritized, and throttled transfer of files between machines in the foreground or background, without impacting the network experience.

BITS is commonly used by software updaters, including downloading files from the Microsoft servers or peers to install updates on Windows 10, messengers, and other applications designed to operate in the background.

According to security researchers at cyber-security firm ESET, since BITS tasks are more likely permitted by host-based firewalls and the functionality automatically adjusts the data transfer rate, it allows malware to stealthily operate in the background without raising any red flags.

"Compared with traditional communication via API functions, the BITS mechanism is exposed through a COM interface and thus harder for a security product to detect," the researchers say in a report published today.

"The transfer resumes automatically after being interrupted for reasons like a network outage, the user logging out, or a system reboot."

Besides this, instead of exfiltrating the collected data in plain text, the malware first creates an encrypted copy of it and then uploads the copy to the C&C server via BITS protocol.

After successfully exfiltrating the stolen data, the malware automatically deletes all log and collected files after rewriting them with random data in order to prevent forensic analysis and recovery of the deleted data.

As explained in the report, Win32/StealthFalcon backdoor has not only been designed to steal data from the compromised systems but can also be used by attackers to further deploy more malicious tools and update its configuration by sending commands through C&C server.

"The Win32/StealthFalcon backdoor, which appears to have been created in 2015, allows the attacker to control the compromised computer remotely. We have seen a small number of targets in UAE, Saudi Arabia, Thailand, and the Netherlands; in the latter case, the target was a diplomatic mission of a Middle Eastern country," the researchers say.

According to the researchers, this newly discovered malware shares its C&C servers and code base with a PowerShell-based backdoor attributed to the Stealth Falcon group and tracked by the Citizen Lab in 2016.

A música que você ouve pode carregar dados embutidos

Redação do Site Inovação Tecnológica - 22/07/2019

Qualquer aparelho dotado de um microfone consegue entender os dados, mas sua presença é imperceptível ao ouvido humano.
[Imagem: ETH/Colourbox]

Dados embutidos em músicas

Pesquisadores do Instituto Federal de Tecnologia de Zurique (ETH) desenvolveram uma técnica que permite incorporar dados em músicas e transmiti-las como stream ou arquivos para um celular ou computador.

Como os dados incorporados são imperceptíveis para o ouvido humano, esse "cavalo de troia" de informações não afeta a experiência de ouvir a música, que toca da mesma forma que a original. E qualquer aparelho dotado de um microfone consegue entender os dados.

Testes realizados em condições ideais mostraram uma capacidade de transferir até 400 bits por segundo sem que o ouvinte médio percebesse a diferença entre a música original e a versão modificada.

Dado que, sob condições realistas, um grau de redundância é necessário para garantir a qualidade da transmissão, a taxa de transferência provavelmente será de cerca de 200 bits - ou cerca de 25 letras - por segundo.

"Teoricamente, seria possível transmitir dados muito mais rapidamente. Mas quanto mais alta a taxa de transferência, mais cedo os dados se tornam perceptíveis como som interferente, ou a qualidade dos dados decresce," disse Simon Tanner, um dos criadores da técnica.

Transferência de dados acústica

O truque consiste em pegar as notas dominantes em uma música e "cobrir" cada uma delas com duas notas ligeiramente mais profundas e duas notas ligeiramente mais altas, que são mais silenciosas do que a nota dominante. Também são utilizados os harmônicos (uma ou mais oitavas mais altas) da nota mais forte, igualmente inserindo notas ligeiramente mais profundas e mais altas. São essas notas adicionais que carregam os dados.

Embora o microfone de um celular seja capaz de receber e analisar esses dados, o ouvido humano não consegue distinguir as notas adicionais. "Quando ouvimos uma nota alta, não notamos notas mais baixas com uma frequência um pouco maior ou menor," explicou o pesquisador Manuel Eichelberger. "Isso significa que podemos usar as notas altas e dominantes em uma música para esconder a transferência de dados acústica."

Também significa que as músicas ideais para esse tipo de transferência de dados devem ter muitas notas dominantes - músicas pop, por exemplo. Músicas tranquilas são menos adequadas.

"Em muitos lugares públicos, como lojas, estádios, estações de trem e restaurantes, alto-falantes tocam música de fundo. Nossa técnica abre o potencial para uma rota de comunicação fácil dos alto-falantes para microfones sem requisitos de hardware adicional ou qualquer configuração. A taxa de dados de várias centenas bits por segundo é suficiente para várias aplicações," escreveu a equipe.

Bibliografia:

Artigo: Imperceptible Audio Communication
Autores: Manuel Eichelberger, Simon Tanner, Gabriel Voirol, Roger Wattenhofer
Revista: 44th ICASSP Proceedings
Link: https://tik-old.ee.ethz.ch/file/8a61c16532c1d4f9021d3aaf06f4f381/imperceptible_audio_communication.pdf

Algoritmo identifica 569 moléculas para uma economia sem resíduos

Redação do Site Inovação Tecnológica - 22/07/2019

A mineração de dados pode se tornar uma "inteligência coletiva", apoiando os supercomputadores e robôs que fazem descobertas científicas, ou mesmo indo além deles.
[Imagem: CC0 Public Domain/Pixabay]

Moléculas estratégicas

Em um exemplo definitivo do poder da ciência baseada em megadados, um programa de computador identificou as 569 substâncias mais promissoras para impulsionar uma economia circular, onde o lixo se torna matéria-prima para novos materiais.

Chamadas de "moléculas estratégicas", essas substâncias podem viabilizar a transformação do que hoje são resíduos em compostos valiosos, indo muito além da reciclagem tradicional.

"Hoje, se você tiver um fluxo de resíduos e quiser produzir um produto final de alto valor, há muita incerteza sobre o que fazer e por quais rotas," explicou Jana Marie Weber, da Universidade de Cambridge, no Reino Unido, que desenvolveu o algoritmo em conjunto com seus colegas Pietro Lió e Alexei Lapkin.

O programa fez uma mineração de dados em mais de meio milhão de compostos e quase um milhão de reações químicas e reuniu tudo em uma gigantesca rede química. Em seguida, o algoritmo identificou as moléculas com mais conexões e as posições mais centrais nas reações de múltiplas etapas.

"Nós direcionamos nossa busca para moléculas estratégicas e, depois, a partir das moléculas estratégicas, para alguns passos de reação para algum produto final desejado. Fazendo desse jeito, podemos reduzir o tempo computacional em duas ordens de grandeza," acrescentou Weber.

Entre as moléculas estratégicas estão muitos intermediários comuns e sabidamente "estratégicos" nesse sentido químico, como água, dióxido de carbono, metanol, ácido acético e fenol, o que ajudou a validar os resultados. Mas também há compostos importantes para ramos específicos da indústria, como o peróxido de benzoíla - um iniciador para polimerização - o precursor farmacêutico piceol e o bloco supramolecular de construção tetrafeniletileno.

Química automatizada

O programa em si não sabe nada de química. Mas o simples fato de classificar os itens - de forma parecida como o Google classifica os resultados das pesquisas - revelou metade dos compostos que foram nomeados como blocos de construção químicos essenciais em um relatório do Laboratório Nacional de Energia Renovável dos EUA, relatório este compilado por químicos humanos.

Mas o programa não consegue fazer tudo. Ele não consegue, por exemplo, avaliar se as rotas de síntese parciais identificadas são quimicamente viáveis. Isso os químicos humanos terão que fazer por eles mesmos.

"O principal resultado do nosso trabalho é que podemos nos concentrar nos estágios iniciais do processo de desenvolvimento na montagem de todas as possíveis rotas," disse Weber.

Bibliografia:

Artigo: Identification of Strategic Molecules for Future Circular Supply Chains Using Large Reaction Networks
Autores: Jana Marie Weber, Pietro Lió, Alexei A. Lapkin
Revista: Reaction Chemistry and Engineering
DOI: 10.26434/chemrxiv.8488934.v1
Link: https://chemrxiv.org/articles/Identification_of_Strategic_Molecules_for_Future_Circular_Supply_Chains_Using_Large_Reaction_Networks/8488934/1