Uma ameaça altamente sofisticada, capaz de espionagem cibernética por meio de roteadores direcionados, foi descoberta por pesquisadores da Kaspersky Lab. Dublado Slingshot, o malware foi usado em campanhas maliciosas em vítimas no Oriente Médio e na África por vários anos. disse brevemente, Slingshot é um APT complexo (Ameaça persistente avançada), com “uma das estruturas mais complexas”Conforme explicado pelo analista de malware Alexey Shulmin.
Detalhes técnicos do Slingshot APT
O Kaspersky encontrou o malware quando encontrou um keylogger de aparência suspeita. Eles criaram uma assinatura de detecção comportamental para verificar se o código está presente em qualquer outro lugar. Esta atividade desencadeou a detecção de um arquivo suspeito na pasta do sistema conhecido como scesrv.dll. Mais tarde, descobriu-se que o módulo scesrv.dll continha código malicioso. “Uma vez que esta biblioteca é carregada por ‘services.exe,'Um processo que tem privilégios de sistema, a biblioteca envenenada ganhou os mesmos direitos. Os pesquisadores perceberam que um intruso altamente avançado havia encontrado seu caminho até o centro do computador,”, Disse a Kaspersky em seu comunicado à imprensa.
Os pesquisadores revelaram suas descobertas durante a Conferência de Analistas de Segurança, onde disseram não ter visto um vetor de ataque tão incomum. Os atacantes estavam usando roteadores MikroTik comprometidos para alvejar as vítimas, colocando uma DLL maliciosa dentro deles. A DLL é na verdade um downloader para vários componentes maliciosos, os pesquisadores disseram.
Mais especificamente, “quando um administrador faz login para configurar o roteador, o software de gerenciamento do roteador baixa e executa o módulo malicioso no computador do administrador. O método usado para hackear os roteadores em primeiro lugar permanece desconhecido,”Os pesquisadores da Kaspersky Lab revelaram.
O que acontece depois que o roteador é infectado? A próxima etapa inclui o download do Slingshot de mais módulos de malware. Dois deles merecem mais atenção devido à sua natureza bastante sofisticada – Cahnadr e GollumApp. Os dois componentes estão conectados um ao outro e podem apoiar-se mutuamente nos procedimentos de coleta de informações.
GollumApp, em particular, parece ser o módulo mais complexo do Slingshot, encontrado para abranger 1,500 funções de código de usuário, bem como os controles de persistência, controle do sistema de arquivos e servidores de comando e controle. O outro módulo, Cahnadr, é um programa em modo kernel que permite aos servidores executar códigos maliciosos sem travar todo o sistema de arquivos, Kaspersky disse.
Capacidades de estilingue APT
O malware é capaz de realizar campanhas silenciosas de espionagem cibernética, onde furtivamente coleta dados, oculta o tráfego usando pacotes de dados que podem ser interceptados sem serem rastreados.
Um resumo de suas capacidades é assim:
O objetivo principal do Slingshot parece ser a espionagem cibernética. A análise sugere que ele coleta capturas de tela, dados do teclado, dados de rede, senhas, Conexões USB, outra atividade de desktop, dados da área de transferência e mais, embora seu acesso ao kernel signifique que ele pode roubar o que quiser.
Quem é o alvo? Pelo visto, as vítimas deste malware são, provavelmente, indivíduos específicos. Contudo, organizações governamentais também podem ser visadas. Em termos de roteadores que são afetados pelo Slingshot - embora os roteadores MikroTik tenham sido impactados nas campanhas analisadas pelos pesquisadores, outros roteadores também podem ser direcionados.
A estrutura sofisticada do malware também fala muito sobre quem está por trás das campanhas - provavelmente os agentes de ameaças patrocinados pelo estado.
Os usuários do MikroTik são incentivados a atualizar para o firmware mais recente para evitar uma infecção com o Slingshot.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: