Slingshot el malware infecta los PC a través de archivos descargados desde los enrutadores comprometidos

Investigadores de Kaspersky Lab descubrieron el malware de espionaje que parece haber sido desarrollado por un gobierno para espiar objetivos en África y Medio Oriente durante los últimos seis años.

Los investigadores no han nombrado el país de origen de Slingshot, pero destacan la presencia de mensajes de depuración escritos en perfecto inglés, mientras que varios nombres de componentes como Gollum y Smeagol sugieren que los autores son fanáticos de El Hobbit.

Slingshot alcanzó los objetivos de una actualización de software comprometida para los enrutadores fabricados por la firma letona MikroTik.

Su software de administración de enrutadores, Winbox, descarga archivos DLL del sistema de archivos del enrutador y los carga directamente en la memoria de una ordenador, una función prevista que los desarrolladores de Slingshot explotaron al agregar una biblioteca maliciosa llamada ipv4.dll, que descarga las herramientas de espionaje.

Las dos herramientas, Cahnadr y GollumApp, trabajan en conjunto para recopilar información y ocultar la recopilación de datos y la exfiltración del objetivo.

Los investigadores de Kaspersky descubrieron que puede capturar capturas de pantalla, datos de teclado, datos de red, contraseñas, conexiones USB, otras actividades de escritorio y datos del portapapeles.

Los investigadores no han descubierto cómo Slingshot infecta a los enrutadores MikroTik para usar el puente WinBox para PC, sin embargo, señalan en un documento técnico que la filtración de herramientas de hacking de la CIA de WikiLeaks Vault 7 hizo referencia a un exploit para el enrutador de MikroTik llamado ChimayRed.

Según MikroTik, las últimas versiones de WinBox ya no descargan el archivo ipv4.dll del enrutador, cerrando el vector de ataque.

Parece que el malware se usó estrechamente con Kaspersky contando solo 100 detecciones entre sus usuarios entre 2012 y febrero de 2018.

Más de la mitad de las ordenadores comprometidos estaban en Kenia y Yemen, y el resto en Libia, Afganistán, Irak, Tanzania, Grecia, Jordania, Mauricio, Somalia, Túnez, Turquía y Emiratos Árabes Unidos.

Slingshot no se ha observado utilizando fallas no reveladas previamente, pero usó tres vulnerabilidades conocidas que afectan a las utilidades de Windows que no son de Microsoft para cargar un componente kernel de Cahnadr.

De acuerdo con las preguntas frecuentes de Kaspersky sobre Slingshot, el módulo GollumApp presenta casi 1,500 funciones.

"Para ejecutar su código en modo kernel en las versiones más recientes de los sistemas operativos, que tienen aplicación de firma de controladores, Slingshot carga controladores vulnerables firmados y ejecuta su propio código a través de sus vulnerabilidades.

"Tras la infección, Slingshot cargará varios módulos en el dispositivo víctima, incluidos dos enormes y potentes: Cahnadr, el módulo de modo kernel, y GollumApp, un módulo de modo de usuario. Los dos módulos están conectados y son compatibles entre sí en recopilación de información, persistencia y exfiltración de datos.

"El módulo más sofisticado es GollumApp. Este contiene casi 1.500 funciones de código de usuario y proporciona la mayoría de las rutinas descritas anteriormente para la persistencia, el control del sistema de archivos y las comunicaciones de C & C".

Kaspersky advirtió a cualquiera que use enrutadores MikroTik que actualice su última versión de software. Además, la compañía dice que el software Winbox de MikroTik ya no permite descargar archivos del enrutador al ordenador.