Durante los últimos días se han emitido reportes sobre la amenaza cibernética Slingshot (resortera), la cual está activa desde 2012; sin embargo, su descubrimiento y denominación ha sido reciente, según mostró un informe de S21Sec.
Slingshot infecta las PC al aprovechar las vulnerabilidades de los ruteadores, especialmente aquellos que aún mantienen la configuración de fábrica. El malware es un gestor de arranque que reemplaza la biblioteca dinámica del sistema existente en la computadora de la víctima.
Los módulos principales se denominan como Cahnadr (ejecutándose en modo Kernel) y GlollumApp (ejecutándose en modo de Usuario).
En los últimos 60 días se han detectado al menos 274 citas en las que aparece señalada esta amenaza, sobre todo en África y Oriente medio, aunque no se puede descartar su aparición en Latinoamérica.
A Slingshot se le atribuyen características propias del malware patrocinado por gobiernos, con el objetivo de espiar países enemigos, aunque hasta el momento se desconoce quienes son los actores involucrados. Sus funciones incluyen:
- Recopilar capturas de pantalla
- Guardar información sobre la red y conexiones USB
- Interceptar contraseñas y datos existentes en el portapapeles
- Monitorear la actividad en la computadora
El módulo Canhadr está escrito en C y es capaz de acceder al disco duro y memoria RAM a pesar de las limitaciones establecidas en el sistema. Se encarga de monitorear la integridad de sí mismo y ocultar la actividad del virus desde los sistemas de análisis, mediante el uso de algoritmos que enmascaran el tráfico de red.
El módulo GollumApp, por otro lado, contiene unas mil 500 funciones y está integrado en el archivo “services.exe”, que trabaja directamente con los servicios del sistema: espionaje de datos en la red, robo de las contraseñas guardadas en Mozilla e Internet Explorer, transmitir las pulsaciones del teclado, iniciar nuevos procesos con sistemas de derechos y controla las e/S-peticiones.
Aunque no puede determinarse su autoría, los investigadores de S21sec destacan que los mensajes de depuración están escritos en perfecto inglés.
No todos los antivirus tienen la capacidad de detectar este malware debido a que se ejecuta directamente a nivel de Kernel; una acción preventiva importante consiste en mantener actualizado el firmware de los routers para evitar este tipo de amenazas a través de vulnerabilidades conocidas, así también se evita la propagación.