[:pb]A Kaspersky descobriu recentemente um sofisticado malware que tem estado ativo durante os últimos seis anos. O detalhe é que o malware Slingshot foi instalado em roteadores ao invés dos computadores dos usuários.
Kaspersky: Malware Slingshot ficou ativo em roteadores por seis anos
De acordo com o relatório de 25 páginas publicado pela Kaspersky, o malware não é apenas um executável malicioso.
O relatório descreve o malware Slingshot como sendo uma “plataforma de ataque” capaz de realizar tarefas como coleta de dados, captura de imagens da tela, captura de dados digitados, monitoramento da área de transferência, monitoramento da rede, acesso a dispositivos USB, coleta de senhas e mais.
Por ser tão sofisticado, a Kaspersky acredita que ele possa ser usado especificamente para espionagem. Os pesquisadores da empresa afirmam que ele é similar ao Project Sauron e ao Regin, mas é mais avançado.
O malware está ativo desde 2012 principalmente no Oriente Médio e África. Até agora os pesquisadores detectaram pouco mais de 100 instâncias de dispositivos infectados com ele.
Embora o malware Slingshot reside no roteador, ele faz o download de alguns módulos que são usados para conexão aos computadores na rede. A primeira coisa que ele faz é substituir um arquivo DLL no Windows chamado “scesrv.dll” por uma versão maliciosa com o mesmo nome e tamanho.
Dois dos módulos utilizados pelo malware são os programas Cahnadr e GollumApp. O primeiro é responsável por ocultar sua presença e dos outros módulos. Isto permite que os atacantes tomem o controle do computador do usuário sem que ele saiba. Ele também pode monitorar dispositivos na rede e ocultar o tráfego.
Já o GollumApp é responsável pela coleta de informações e pode acessar os dispositivos USB e até mesmo câmeras conectadas. Ele é executado com privilégios do sistema.
O fato do malware Slingshot ser tão sofisticado é um indício de que ele teve um grande financiamento, possivelmente uma agência governamental.
Das pouco mais de 100 infecções detectadas, a maioria está no Quênia e no Iêmen. Algumas infecções também foram detectadas em regiões como Afeganistão, Líbia, Congo, Jordânia, Turquia, Iraque, Sudão, Somália e Tanzânia.
O relatório completo da Kaspersky pode ser visto aqui.
via Baboo[:]