Una amenaza muy sofisticado capaz de espionaje cibernético a través de los routers de orientación ha sido descubierto por investigadores de Kaspersky Lab. apodado Slingshot, el malware se ha utilizado en campañas maliciosas sobre las víctimas en el Oriente Medio y África durante varios años. Poco dicho, Slingshot es un complejo APT (Amenaza Persistente Avanzada), con "uno de los marcos más complejos”Como se explica por el analista de malware Alexey Shulmin.
Tirachinas Detalles técnicos APT
Kaspersky se encontró con el malware cuando se encontraron con un keylogger sospechosamente mirando. Ellos crearon una firma de análisis del comportamiento para comprobar si el código está presente en otro sitio. Esta actividad desencadena la detección de un archivo sospechoso dentro de la carpeta del sistema conocido como Scesrv.dll. Más tarde se descubrió que el módulo Scesrv.dll contenía código malicioso. "Desde esta biblioteca se carga por ‘services.exe,’Un proceso que tiene privilegios del sistema, la biblioteca envenenado ganó los mismos derechos. Los investigadores se dieron cuenta de que un intruso muy avanzada había encontrado su camino en el corazón mismo de la computadora,”Dijo Kaspersky en su comunicado de prensa.
Los investigadores revelaron sus hallazgos durante su cumbre de Analista de Seguridad donde dijeron que no han visto previamente un vector de ataque tan inusual. Los atacantes estaban usando routers MikroTik comprometidos con los objetivos víctimas mediante la colocación de un DLL malicioso dentro de él. La DLL es en realidad un programa de descarga para varios componentes maliciosos, los investigadores dijeron.
Más específicamente, "cuando un administrador inicia sesión en para configurar el router, descargas de software de gestión del router y se ejecuta el módulo malicioso en el ordenador del administrador. El método utilizado para cortar los routers en el primer lugar sigue siendo desconocida,”investigadores de Kaspersky Lab revelaron.
¿Qué ocurre después de que el enrutador está infectado? El siguiente paso incluye la catapulta de la descarga de malware más módulos. Dos de ellos merecen más atención debido a su naturaleza muy sofisticados – Cahnadr y GollumApp. Los dos componentes están conectados entre sí y pueden apoyarse mutuamente en la recogida de los procedimientos de información.
GollumApp en particular, parece ser el módulo más complejo de la catapulta, encontrado para abarcar 1,500 funciones de código de usuario, así como los controles para la persistencia, control de sistema de archivos y servidores de comando y control. El otro módulo, Cahnadr, es un programa en modo de núcleo que los servidores que ejecutan código malicioso sin que se caiga todo el sistema de archivos, Kaspersky dijo.
Capacidades APT Slingshot
El malware es capaz de llevar a cabo campañas de ciberespionaje silenciosas donde sigilosamente recoge datos, esconde de tráfico usando paquetes de datos que pueden ser interceptados sin ser rastreado.
Un resumen de sus capacidades que se parece:
El objetivo principal de tirachinas parece ser ciberespionaje. El análisis sugiere que recoge las capturas, los datos del teclado, datos de red, contraseñas, conexiones USB, otra actividad de escritorio, los datos del portapapeles y más, A pesar de sus medios de acceso kernel puede robar lo que quiera.
¿Quién se apunta? Al parecer,, víctimas de este malware son individuos particulares más probables. Sin embargo, organizaciones gubernamentales también pueden ser el objetivo. En cuanto a los routers que se ven afectados por la catapulta - a pesar de que los routers MikroTik se vieron afectados en las campañas analizadas por los investigadores, otros routers pueden ser dirigidos, así.
La estructura sofisticada del malware también dice mucho de quién está detrás de las campañas - más probables agentes de amenaza patrocinadas por el Estado.
MikroTik usuarios se les insta a actualizar a la última versión del firmware para evitar una infección con la catapulta.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: