Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Slingshot, el grupo de ciberdelincuentes que actúa desde 2012 y acaba de ser descubierto

  • Actualidad

seguridad ciberriesgo hacker

El nombre del grupo procede de la pieza de malware avanzado conocido como Slingshot y que es el que utilizan para infectar cientos de miles de víctimas a través de sus routers.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo sobrevivir a un ataque BEC

Slingshot, o tirachinas, así es como ha apodado Kaspersky a un grupo de ciberdelincuentes que acaba de detectar. Llevan operando desde 2012 en tareas de ciberespionake y han permanecido indetectables por sus técnicas avanzadas. “Lo que hace de Slingshot realmente peligroso son los numerosos trucos que utilizan para evitar la detección”, explica la compañía de seguridad en un post. El grupo es capaz de desconectar algunos de sus componentes cuando detectan signos de alguna actividad forense que pudiera llevar a su detección; “es más, Slingshot utiliza su propio sistema de archivos cifrados en una parte no utilizada del disco duro”.

El nombre del grupo procede de la pieza de malware avanzado conocido como Slingshot y que es el que utilizan para infectar cientos de miles de víctimas en la región de EMEA a través de sus routers.

Según Kaspersky el grupo explota vulnerabilidades conocidas en los routers de un proveedor de hardware de red llamado Mikrotik como su primer vector de infección para implantar su spyware en los ordenadores de las víctimas.

Una vez comprometido el router, los ciberdelincuentes reemplazan uno de los archivos DDL (dynamic link libraries) con uno malicioso, que se carga directamente en la memoria del ordenador cuando el usuario ejecuta el software Winbox Loader, una herramienta diseñada por Mikrotik para los usuarios de Windows.

El malware Slingshot utiliza dos componentes: un módulo de modo kernel llamado Cahnadr y GollumApp, un módulo de modo de usuario. Cuando se ejecuta Cahnadr los atacantes consiguen control completo, sin limitaciones, del ordenador de las víctimas. Además, a diferencia de la mayoría del malware que intenta trabajar en modo kernel, puede ejecutar código sin causar una pantalla azul. El segundo módulo, GollumApp, es aún más sofisticado. Contiene cerca de 1,500 funciones de código de usuario, explica Kaspersky.

Gracias a esos módulos, Slingshot puede recopilar capturas de pantalla, datos de teclado, datos de red, contraseñas, otras actividades de escritorio, el portapapeles y mucho más. Y todo sin explotar ninguna vulnerabilidad de día cero.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos