Investigadores de seguridad en el Laboratorio de Kaspersky han descubierto un nuevo tipo de malware. Y lo peor, es que este es uno de los más avanzados alrededor.
Apodado «Slingshot«, el código espía en los PCs a través de un ataque por capas que apunta a los routers MikrotTik.
Su forma de ataque es bastante peculiar. Primero, reemplaza un archivo de la librería por una versión maliciosa que descarga otros componentes dañinos.
Luego, lanza un ataque de dos puntas en las computadoras. Una, «Canhadr«, corre un código kernel de nivel bajo que le da al intruso libre albedrío por la PC.
El otro, «GollumApp«, se enfoca en el nivel del usuario e incluye código para coordinar esfuerzos, manejar el sistema de archivos, y mantener al malware vivo.
Kaspersky describe a estos dos elementos como «obras maestras», y por buena razón.
En primer lugar, no es cualquier cosa correr código kernel hostil sin crashear una computadora. Slingshot también guarda sus archivos de malware en un sistema de archivos virtual encriptado.
Este encripta todos los archivos de texto en sus módulos, llama a los servicios directamente, e inclusive apaga componentes cuando alguna herramienta forense está activa.
Si hay un método común para detectar malware, o identificar su comportamiento, Slingshot sabe como evitarlo. Por lo tanto, no es de sorprender que el código ha estado activo por lo menos desde 2012.
Nadie sabía que estaba allí.
El malware puede robar lo que le quiera. Cada tecla presionada, tráfico de red, contraseñas, screenshots, todo esto y más es capturado.
Aún no está claro cómo Slingshot entra en el sistema, aparte de tomar ventaja del software del router.
La combinación del enfoque en espionaje, y qué tan sofisticado es el software llevan a Kaspersky a sospechar de las agencias de inteligencia de algún país.
Si bien pistas textuales apuntan a los angloparlantes, el culpable no está claro. Un poco menos de 100 individuos, equipos del gobierno, e instituciones fueron presa de Slingshot.
Los países incluyen Afganistán, Iraq, Jordán, Kenya, Libia, y Turquía.
Podría ser cualquiera de los países de los Cinco Ojos (Australia, Canada, Nueva Zelanda, el Reino Unido, y Estados Unidos) manteniendo vigilados a países con severos problemas de terrorismo, pero nada está asegurado.
Slingshot debería estar resuelto con el nuevo parche de seguridad de los routers MikroTik.
Lo preocupante es que otras marcas de routers podrían estar afectados. Y si lo están, hay una posibilidad que Slingshot abarque más y siga tomando información vital.
Vía Kaspersky Lab