BITSLOTH nutzt eine bekannte Schwachstelle im BITS-Dienst von Windows, der normalerweise für den Hintergrunddownload von Dateien verwendet wird. Über diesen Dienst empfängt die Malware Befehle von ihren Command-and-Control (C2)-Servern und führt sie aus. Diese Methode ermöglicht es BITSLOTH, unbemerkt von den meisten gängigen Sicherheitslösungen zu agieren.

Die Angreifer verschleiern ihren Datenverkehr mithilfe von STOWAWAY, einer öffentlich zugänglichen Backdoor und Proxy-Server. Dadurch leiten sie verschlüsselten Verkehr über HTTP oder HTTPS zu ihren Command-and-Control (C2)-Servern. Nach dem initialen Zugriff bewegen sich die Angreifer lateral im Netzwerk und platzieren BITSLOTH als DLL-Datei im Programdata-Verzeichnis. Anschließend nutzen sie die signierte und dadurch unauffällige Version des Musikprogramms FL Studio, um die Malware DLL über Side-Loading auszuführen.

Diese Vorgehensweise ermöglicht es den Angreifern, unbemerkt und effektiv in das System einzudringen und es zu kompromittieren und Daten in beide Richtungen unbemerkt zu übertragen. Es ist dringend erforderlich, Ihre Sicherheitsmaßnahmen zu überprüfen und zu verstärken, um eine solche fortschrittlichen Bedrohungen abzuwehren.

Durch die Nutzung legitimer Windows-Dienste wie BITS verschleiert BITSLOTH seine Aktivitäten, was es für herkömmliche Antivirenprogramme schwierig macht, die Malware zu erkennen und zu blockieren. Auf diese Weise kann BITSLOTH Daten sammeln, wie Passwörter und Anmeldedaten durch Keylogger, Informationen aus Dateien auf den Speichermedien oder die Dateien selbst, Systeme kompromittieren und sich im Netzwerk ausbreiten, ohne sofort entdeckt zu werden.

Nach den neuesten Untersuchungen von Elastic Security Labs enthält die Schadsoftware 35 verschiedene Funktionen. Neben den bereits genannten kann BITSLOTH auch Screenshots anfertigen, Kommandos ausführen oder Programme mit Systemberechtigungen starten. Diese breite Palette an Funktionen ermöglicht eine umfangreiche Datensammlung und Systemkontrolle, die weitgehend unter dem Radar bleibt.

Was mach BITSLOTH so gefährlich ?

• Unauffällige Operationen: BITSLOTH nutzt legale Windows-Systemprozesse, um unerkannt zu bleiben.
• Hohe Persistenz: Die Malware verankert sich tief im System und ist damit schwer zu entfernen.
• Schnelle Ausbreitung: Durch die Verwendung der Netzwerkverbindung breitet sich die Kompomitierung auf andere Systeme aus.
• Botnet-Gefahr:  Die einmal befallenen Systeme können zu Botnetzen zusammen gefasst werden und damit großflächige Cyperangriffe von oder in Ihr Netzwerk ermöglichen.

Wie schützen Sie sich und Ihre Daten vor BITSLOTH?

Zum Schutz vor den Angriffen durch BITSLOTH ist die kombination vom mehreren unsere Produkte erforderlich die speziell entwicklet wurden um die Angriffe der nächsten Generation abzuwehren:

1. Schutzschicht: SINE-HWF für Ihr Netzwerk oder SINE-CFW für Ihre Anwendungen in der Cloud
2. Schutzschicht: SINE-AVS zum Schutz Ihrer Endpunkte unter Windows
   
3. Schutzschicht: SINE-SECDNS der Bodygard für Ihren Router