Los
investigadores de Kaspersky Labs han descubierto un malware,
denominado Slingshot, que se ha podido ocultar durante unos seis años. Si
bien no se conoce el número exacto, el malware ha infectado a alrededor de 100
usuarios en diferentes países ubicados en África y Medio Oriente.
Malware Slingshot
Se cree que Slingshot estuvo activo desde 2012 hasta febrero de 2018. Es una herramienta de ciberespionaje altamente sofisticada que combina las plataformas conocidas como Proyecto Sauron y Regin en complejidad.
Una
de las maneras en que puede infectar las máquinas con Windows es a través de los
routers MikroTik y su software de
administración llamado Winbox Loader. Los investigadores también incluyen
las posibilidades de que la víctima se infecte a través de un exploit de Windows.
Slingshot
primero infecta el enrutador y luego carga dos potentes módulos llamados
Cahnadr (módulo kernel-mode) y GollumApp (módulo de modo de usuario) en la
computadora de la víctima. Después de eso, la herramienta de
ciberespionaje puede recopilar información diversa, incluidas conexiones USB, teclado, datos del portapapeles, datos de
red, capturas de pantalla, contraseñas, etc.
Potencialmente,
con la facilidad del modo kernel, los atacantes detrás de Slingshot pueden
tomar el control completo de la computadora de la víctima. “No hay
restricciones, limitaciones ni protección para el usuario (o ninguna que el malware
no pueda eludir fácilmente)”, escribieron los investigadores.
Según
los investigadores, el desarrollo de Slingshot podría haber implicado un alto
costo y habilidad teniendo en cuenta lo avanzado y poderoso que es. El
código de Slingshot sugiere que sus desarrolladores hablan inglés y se cree que
algún grupo de hackers patrocinados por el estado están detrás del
malware.
Slingshot
tiene un sistema de archivos ciifrado propio. Puede desactivar la
característica de desfragmentación del disco en el sistema operativo Windows
para evitar la reubicación de los datos almacenados por Slingshot en el disco
duro.
A
MikroTik se le ha proporcionado la información limitada que los investigadores
tienen actualmente sobre el malware. Se recomienda a los usuarios afectados
que actualicen el firmware de su enrutador a la última versión. Es posible
que Slingshot haya infectado usuarios con otros enrutadores.
Puedes
leer más detalles en la publicación del blog de los
investigadores.
Fuente: Fossbytes