Slingshot, el grupo de ciberdelincuentes que actúa desde 2012 y acaba de ser descubierto

Actualidad

12 MAR 2018

El nombre del grupo procede de la pieza de malware avanzado conocido como Slingshot y que es el que utilizan para infectar cientos de miles de víctimas a través de sus routers.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo sobrevivir a un ataque BEC

Slingshot, o tirachinas, así es como ha apodado Kaspersky a un grupo de ciberdelincuentes que acaba de detectar. Llevan operando desde 2012 en tareas de ciberespionake y han permanecido indetectables por sus técnicas avanzadas. “Lo que hace de Slingshot realmente peligroso son los numerosos trucos que utilizan para evitar la detección”, explica la compañía de seguridad en un post. El grupo es capaz de desconectar algunos de sus componentes cuando detectan signos de alguna actividad forense que pudiera llevar a su detección; “es más, Slingshot utiliza su propio sistema de archivos cifrados en una parte no utilizada del disco duro”.

El nombre del grupo procede de la pieza de malware avanzado conocido como Slingshot y que es el que utilizan para infectar cientos de miles de víctimas en la región de EMEA a través de sus routers.

Gestión de Vulnerabilidades

Regístrate en este IT Webinar y conoce cómo no ser víctima de Wannacry y de otras muchas amenazas que explotan vulnerabilidades conocidas y para las que ya existen parches

Según Kaspersky el grupo explota vulnerabilidades conocidas en los routers de un proveedor de hardware de red llamado Mikrotik como su primer vector de infección para implantar su spyware en los ordenadores de las víctimas.

Una vez comprometido el router, los ciberdelincuentes reemplazan uno de los archivos DDL (dynamic link libraries) con uno malicioso, que se carga directamente en la memoria del ordenador cuando el usuario ejecuta el software Winbox Loader, una herramienta diseñada por Mikrotik para los usuarios de Windows.

El malware Slingshot utiliza dos componentes: un módulo de modo kernel llamado Cahnadr y GollumApp, un módulo de modo de usuario. Cuando se ejecuta Cahnadr los atacantes consiguen control completo, sin limitaciones, del ordenador de las víctimas. Además, a diferencia de la mayoría del malware que intenta trabajar en modo kernel, puede ejecutar código sin causar una pantalla azul. El segundo módulo, GollumApp, es aún más sofisticado. Contiene cerca de 1,500 funciones de código de usuario, explica Kaspersky.

Gracias a esos módulos, Slingshot puede recopilar capturas de pantalla, datos de teclado, datos de red, contraseñas, otras actividades de escritorio, el portapapeles y mucho más. Y todo sin explotar ninguna vulnerabilidad de día cero.

TAGS Seguridad, Ciberdelincuente

Encuentros ITDM Group: El sector sanitario y su apuesta por las tecnologías más vanguardistas

En este encuentro ITDM Group analizamos cómo está progresando la industria sanitaria en su transformación digital y cómo impactarán las últimas tendencias e innovaciones tecnológicas a lo largo de este año. Para ello contamos con la colaboración de expertos de SEMIC (partner de Hewlett Packard Enterprise), TEHTRIS, THALES y B-FY.

El nombre del grupo procede de la pieza de malware avanzado conocido como Slingshot y que es el que utilizan para infectar cientos de miles de víctimas a través de sus routers.

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO