Accueil > Nouvelles Cyber > Highly Sophisticated Slingshot Malware Uses Routers to Infect
CYBER NOUVELLES

Très sophistiqué Slingshot Malware utilise des routeurs Infecter

Une menace très sophistiquée capable d'espionnage cybernétique via des routeurs ciblant a été découvert par des chercheurs de Kaspersky Lab. surnommé Slingshot, le logiciel malveillant a été utilisé dans les campagnes malveillantes sur les victimes au Moyen-Orient et en Afrique depuis plusieurs années. Peu dit, Slingshot est un complexe APT (Advanced Persistent Threat), avec "l'un des cadres les plus complexes» Comme expliqué par l'analyste des logiciels malveillants Alexey Shulmin.

histoire connexes: Les outils les plus populaires dans Hacking 2017

Slingshot APT Détails techniques

Kaspersky est tombé sur le logiciel malveillant quand ils ont trouvé un keylogger regardant soupçonneux. Ils ont créé une signature de détection comportementale pour vérifier si le code est présent nulle part ailleurs. Cette activité a déclenché la détection d'un fichier suspect dans le dossier système connu sous le nom Scesrv.dll. Plus tard, il est apparu que le module Scesrv.dll contenait du code malveillant. "Étant donné que cette bibliothèque est chargée par « services.exe,» Un procédé qui a des privilèges système, la bibliothèque empoisonnée a gagné les mêmes droits. Les chercheurs ont réalisé qu'un intrus très avancé avait trouvé son chemin dans le cœur même de l'ordinateur,» Kaspersky a déclaré dans leur communiqué de presse.

Les chercheurs ont révélé leurs résultats au cours de son sommet analyste de sécurité où ils ont dit qu'ils n'ont pas déjà vu un tel vecteur d'attaque inhabituelle. Les attaquants utilisent des routeurs Mikrotik compromis aux cibles des victimes en plaçant une DLL malveillant à l'intérieur. La DLL est en fait un téléchargeur pour divers composants malveillants, les chercheurs.

Plus précisement, "lorsqu'un administrateur se connecte à configurer le routeur, le logiciel de gestion du routeur de téléchargements et exécute le module malveillant sur l'ordinateur de l'administrateur. La méthode utilisée pour pirater les routeurs en premier lieu reste inconnu,» les chercheurs de Kaspersky Lab ont révélé.

Qu'est-ce qui se passe après le routeur est infecté? L'étape suivante comprend le téléchargement de logiciels malveillants Slingshot modules plus. Deux d'entre eux méritent plus d'attention en raison de leur nature assez sophistiqué – Cahnadr et GollumApp. Les deux composants sont reliés les uns aux autres et peuvent se soutenir mutuellement dans la collecte de procédures d'information.

GollumApp en particulier semble être le module le plus complexe de Slingshot, trouvé pour englober 1,500 fonctions de code utilisateur ainsi que les contrôles de persistance, contrôle du système de fichiers et les serveurs de commande et de contrôle. L'autre module, Cahnadr, est un programme en mode noyau que les serveurs d'exécuter du code malveillant sans écraser tout le système de fichiers, Kaspersky dit.

histoire connexes: Haut 6 Avancée obfuscation Techniques Hiding logiciels malveillants sur votre appareil

Slingshot Capacités APT

Le logiciel malveillant est capable de mener des campagnes cyber-espionnage silencieux où il recueille des données sournoisement, cache du trafic en utilisant des paquets de données qui peuvent être interceptées sans être tracé.

Un résumé de ses capacités ressemble que:

Le but principal de Slingshot semble être cyber-espionnage. L'analyse suggère qu'il recueille les screenshots, les données du clavier, données réseau, les mots de passe, connexions USB, autre activité de bureau, les données presse-papiers et plus, bien que son accès noyau signifie qu'il peut voler tout ce qu'il veut.

Qui est visé? Apparemment, victimes de ce malware sont certains individus les plus probables. Cependant, les organismes gouvernementaux peuvent également être ciblés. En ce qui concerne les routeurs qui sont touchés par Slingshot - même si les routeurs Mikrotik ont ​​été touchés dans les campagnes analysées par les chercheurs, d'autres routeurs peuvent être ciblés et.

La structure sophistiquée du malware parle aussi long sur qui se cache derrière les campagnes - les plus probables acteurs de la menace parrainés par l'État.

Les utilisateurs Mikrotik sont invités à mettre à niveau vers le dernier firmware pour éviter une infection par Slingshot.

Milena Dimitrova

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...