Киберпреступники научились использовать легитимный компонент операционной системы Windows под названием Background Intelligent Transfer Service (BITS) для скрытой установки на нее вредоносного ПО. В 2020 году больницы, медицинские центры и дома престарелых страдали от постоянно меняющейся фишинговой кампании, в ходе которой распространялся бэкдор KEGTAP, открывавший путь для атак вымогательского ПО Ryuk. Недавно специалисты FireEye Mandiant обнаружили ранее неизвестный механизм, позволяющий KEGTAP сохранять персистентность с помощью компонента BITS. Впервые представленный в Windows XP компонент BITS представляет собой фоновую интеллектуальную службу передачи файлов между клиентом и HTTP-сервером, которая задействует неиспользуемую часть пропускной способности сети. BITS обычно используется для доставки обновлений операционной системы клиентам. Кроме того, он используется антивирусным сканером Windows Defender для получения обновлений сигнатур вредоносных программ. Помимо собственных продуктов Microsoft, сервис также используется другими приложениями, такими как Mozilla Firefox, чтобы загрузка продолжалась в фоновом режиме, даже когда браузер закрыт. «Когда вредоносные приложения создают задания BITS, файлы загружаются или выгружаются в контексте процесса хоста службы. Это может быть полезно для обхода межсетевых экранов, которые могут блокировать вредоносные или неизвестные процессы, а также для сокрытия того, какое приложение запросило трансфер», — сообщили в FireEye Mandiant. На уже скомпрометированные системы загружается вымогательское ПО Ryuk, использующее BITS для создания нового задания в качестве System update, настроенного для запуска исполняемого файла mail.exe, который в свою очередь запускает бэкдор KEGTAP после попытки загрузить недействительный URL-адрес. Как отметили исследователи, вредоносное задание BITS было настроено на передачу по HTTP несуществующего файла с локального хоста. «Поскольку этот файл никогда не будет существовать, BITS вызовет состояние ошибки и запустит команду уведомления, которой в данном случае был KEGTAP», — пояснили в FireEye.