 |
|
|
Kaspersky ha descubierto un nuevo malware, al que denominó Slingshot, que tiene como objetivo la infección de routers.
Slingshot ataca a los routers de la compañía MikroTik para poder espiar los equipos conectados a la red generada con ellos como nexo para acceder a Internet. A través de un post en el blog de la compañía, los expertos de Kaspersky ofrecieron detalles sobre cómo funciona dicho malware, que emplea una técnica de ataque multicapa y al parecer llevaba seis años expandiéndose.
Lo primero que hace Slingshot cuando accede al router en el que se instala es sustituir una librería por otra con código malicioso, y que utiliza para descargar e instalar otros componentes en el router y ordenadores. Entre ellos, un archivo, denominado ipv4.dll, y dos módulos denominados Cahnadr y GollumApp. El primero es un agente de descarga malicioso, que a través de la herramienta de gestión de configuración del router Winbox se transfiere al ordenador objetivo, lo carga en memoria y lo ejecuta.
En cuanto a los módulos, el primero es de kernel y el segundo de modo usuario. Son los que se ocupan de lanzar el ataque. Cahnadr se encarga de la ejecución de código de kernel de bajo nivel, y da a los atacantes control completo, sin límites, sobre el ordenador o equipo infectado. A diferencia de otros ataques de malware que intentan trabajar a nivel de kernel, que ejecutan código causando un “pantallazo” azul de error, Cahnadr no provoca ningún efecto que el usuario pueda apreciar.
Paralelamente, GollumApp, que contiene cerca de 1.500 funciones de código y es muy sofisticado, se pone en funcionamiento a nivel de usuario controlando el sistema de archivos del equipo infectado. En combinación con Cahnadr, es capaz de realizar todo tipo de labores de espionaje, desde registrar las pulsaciones del teclado hasta recabar contraseñas y hacer capturas de pantalla o copiar toda la actividad realizada en la red. En realidad, y gracias a lo bien que está diseñado Slingshot, puede conseguir espiar cualquier tipo de información que esté almacenada en los computadores a los que consigue acceso.
Slingshot cuenta con un sistema de autoprotección, caracterizado por almacenar todos los archivos de malware que utiliza en un sistema de archivos virtual y cifrado que crea en un área del disco duro que no se utiliza. Además, también encripta todas las cadenas de texto que utiliza en sus módulos. Asimismo, evita de manera activa los escaneados del sistema que efectúan el software de seguridad. Para conseguirlo efectúa llamadas directas a sus servicios, y desactiva sus componentes cuando detecta que hay herramientas de seguridad activas en el equipo.
MicroTik ya ha publicado una actualización de firmware para sus routers con la que evita que Slingshot se expanda y pueda desarrollar sus actividades de espionaje en los equipos de la red a la que está conectado el router.
Los que cuenten además de con un router de esta compañía, con la herramienta de gestión y configuración WinBox, deben también descargar la última versión de este programa para estar protegidos del ataque, indica www.muycomputerpro.com
|
