Slingshot: Nuevo Malware para PC

Actualidad

Una amenaza presente en África y Oriente Medio

S21Sec, una multinacional española especializada en la ciberseguridad, recientemente anunció de la presencia del malware denominado Slingshot en algunos equipos PC en África y Oriente Medio, aunque no descarta su posible presencia en Latinoamérica. Este virus lleva activo desde el año 2012, aunque su descubrimiento y denominación es reciente. Slingshot es un malware que infecta la PC al aprovechar las vulnerabilidades de los ruteadores, principalmente aquellos que mantienen la configuración de fábrica.

Este virus es un gestor de arranque que reemplaza la biblioteca dinámica del sistema existente en la computadora de la víctima. Los módulos principales se denominan como Canhadr (ejecutándose en modo Kernel) y GlollumApp (ejecutándose en modo de Usuario).

Slingshot cuenta con características propias de malwares creados por gobiernos, los cuales tienen la finalidad de espiar países enemigos, aunque a la fecha se desconoce a los actores involucrados en la creación del virus. Entre las funcionalidades de Slingshot destacan: Recopilar capturas de pantalla, Guardar información sobre la red y conexiones USB, Interceptar contraseñas y datos existentes en el portapapeles, Monitorear la actividad en la computadora.

virus_computadora.jpg Captura de pantalla

El módulo Canhadar está escrito en C y accede al disco duro y memoria RAM sin importarle las limitaciones establecidas en el Sistema. Se encarga de monitorear la integridad de sí mismo y ocultar la actividad del virus desde los sistemas de análisis, a través de algoritmos que ocultan el tráfico de red.

GollumApp por otro lado, tiene 1,500 funciones y se integra en el archivo services.exe. Trabaja de forma directa con los servicios del sistema: espionaje de datos en la red, robo de contraseñas en los navegadores Mozilla e Internet Explorer, además de controlar las e/S peticiones.

Desgraciadamente los antivirus actuales no tienen la capacidad de detectar este malware, debido a que se ejecuta directamente a nivel Kernel, por lo que la acción preventiva sugerida es la actualización constante del firmware de los routers.

Comentarios

1997-2018 © MeriStation, All Rights Reserved

Webs de PRISA

cerrar ventana