FlagDomingo, 27 Mayo 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

malware detection

 

S21sec lanzó una alerta acerca del malware denominado Slingshot, el cual está activo desde 2012, aunque su descubrimiento y denominación ha sido reciente. Slingshot infecta las PC al aprovechar las vulnerabilidades de los ruteadores, especialmente aquellos que aún mantienen la configuración de fábrica.

El malware es un gestor de arranque que reemplaza la biblioteca dinámica del sistema existente en la computadora de la víctima. Los módulos principales se denominan como Cahnadr (ejecutándose en modo Kernel) y GlollumApp (ejecutándose en modo de Usuario).

En los últimos 60 días se han detectado al menos 274 citas en las que aparece señalada esta amenaza, sobre todo en África y Oriente medio, aunque no se puede descartar su aparición en Latinoamérica.

A slingshot (resortera en español) se le atribuyen características propias del malware patrocinado por gobiernos, con el objetivo de espiar países enemigos, aunque hasta el momento se desconoce quienes son los actores involucrados. Sus funcionalidades incluyen:
Recopilar capturas de pantalla
Guardar información sobre la red y conexiones USB
Interceptar contraseñas y datos existentes en el portapapeles
Monitorear la actividad en la computadora

El módulo Canhadr está escrito en C y es capaz de acceder al disco duro y memoria RAM a pesar de las limitaciones establecidas en el Sistema. Se encarga de monitorear la integridad de sí mismo y ocultar la actividad del virus desde los sistemas de análisis, mediante el uso de algoritmos que enmascaran el tráfico de red.

El módulo GollumApp, por otro lado, contiene unas 1,500 funciones y está integrado en el archivo services.exe. Trabaja directamente con los servicios del sistema: espionaje de datos en la red, robo de las contraseñas guardadas en Mozilla e Internet Explorer, transmitir las pulsaciones del teclado, iniciar nuevos procesos con sistemas de derechos y controla las e/S-peticiones.

Aunque no puede determinarse su autoría, los investigadores de S21sec destacan que los mensajes de depuración están escritos en un perfecto inglés.

Alerta a los usuarios
No todos los antivirus tienen la capacidad de detectar este malware debido a que se ejecuta directamente a nivel de Kernel; una acción preventiva importante consiste en mantener actualizado el firmware de los routers para evitar este tipo de amenazas a través de vulnerabilidades conocidas, así también se evita la propagación.