Analistas de segurança da Kaspersky descobriram uma sofisticada campanha de ciberespionagem. Com o código-nome de Slingshot, o malware atua através de ataques multicamada em PCs equipados com routers da marca MikroTik. A infeção decorre através de um ficheiro DLL que é misturado a pacotes legítimos contidos na instalação do equipamento. Este ficheiro abre portas a outros elementos maliciosos que ficam guardados no router.

A empresa de segurança afirma que o malware apresenta duas componentes consideradas uma “obra-prima”. O primeiro é um kernel chamado Cahnadr que dá aos atacantes total controlo, sem limitações, ao computador infetado. Para se entender melhor a sua atuação, a maior parte dos malware que tenta trabalhar em modo kernel bloqueiam o computador, mas o Cahnadr trabalha sem “ecrãs azuis”. O segundo componente é um módulo de utilizador designado por GollumApp, contendo cerca de 1500 funções codificadas.

Vulnerabilidade torna bombas de gasolina um alvo fácil a ataques de hacking
Vulnerabilidade torna bombas de gasolina um alvo fácil a ataques de hacking
Ver artigo

Os dois módulos permitem recolher imagens do ecrã, aceder a informações do teclado, da rede, palavras-passe, entre outras atividades do computador, refere a Kaspersky no seu comunicado. O mais surpreendente são os seus mecanismos de defesa para evitar ser detetado, tornando-o ainda mais perigoso. O Slingshot tem o seu próprio sistema encriptado de ficheiros alojados numa parte inutilizada do disco rígido e consegue desligar os seus componentes quando deteta sinais de pesquisa anti-malware.

A Kaspersky afirma que apesar de a MikroTik já ter procedido às correções necessárias, após relatório, os seus especialistas acreditam que outros dispositivos possam estar comprometidos com o Slingshot.