Slingshot, potente malware che sfrutta i router

I ricercatori di Kaspersky hanno scoperto un sofisticato malware che utilizza i router come vettore di attacco. Slingshot è in circolazione da almeno sei anni, ma solo da alcune settimane sono state rilevate tracce nei computer scelti come bersaglio per un’imponente campagna di cyberspionaggio. Considerata la complessità del codice malevolo è molto probabile che sia stata finanziata da qualche governo.

Gli esperti di Kaspersky ipotizzano che l’infezione sia iniziata con l’accesso ai router prodotti da Mikrotik. Sfruttando l’utility usata per la configurazione (Winbox Loader), i cybercriminali hanno scaricato alcune DLL infette. Una di esse (ipv4.dll) ha sostituito la versione legittima nel file system del router e avviato il download di altri componenti infetti. Slingshot viene eseguito in modalità kernel, grazie all’uso di driver firmati che eludono la protezione del sistema operativo. A questo punto vengono caricati in memoria due moduli: Cahnadr e GollumApp.

Canhadr contiene routine di basso livello per le operazioni di rete e input/output che può accedere liberamente alla memoria e allo storage. GollumApp, invece, contiene oltre 1.500 funzioni e consente di eseguire qualsiasi operazioni sul computer della vittima. Essendo un tool per lo spionaggio, Slingshot può scattare screenshot, registrare varie attività (traffico di rete, tasti premuti, clipboard) e rubare diversi dati sensibili, come password e numero delle carte di credito.

Il malware evita la rilevazione da parte degli antivirus attraverso l’uso della crittografia. Inoltre disattiva i componenti (quando rileva l’esecuzione di tool forensi) e la deframmentazione, in modo da evitare la sovrascrittura dei dati (Windows sposta i dati nei settori occupati da Slingshot perché considerati liberi). Mikrotik ha rilasciato nuovi firmware che risolve il problema, evitando la copia dei file dal router al computer.