Le malware Slingshot a été présenté au Security Analyst Summit de la firme Kaspersky Lab qui s’est tenu à Cancun au Mexique du 7 au 11 mars dernier.
L’occasion pour l’éditeur russe de donner plus de détails sur ce logiciel malveillant découvert accidentellement, après avoir repéré un dll suspect répondant au nom de fichier scesrv.dll.
Selon la firme de sécurité informatique, il procède de manière très singulière en compromettant des routeurs de marque MikroTik. Si ce dernier aurait réglé le problème sur ses serveurs, d’autres types de serveurs pourraient également servir de vecteur d’infection à Slingshot.
Les routeurs infectés téléchargent des fichiers DLL (Dynamic Link Library) avant de les exécuter. Une première extension DLL téléchargée agit comme un cheval de Troie afin de télécharger ensuite divers autres fichiers malveillants.
Par ailleurs, Slingshot s’appuie sur deux modules que Kaspersky qualifie de chefs-d’oeuvre dans son billet de blog : GollumApp et Cahnadr.
Exécuté par le kernel de l’OS, ce dernier offre aux attaquants un contrôle total, sans aucune limitation, de l’ordinateur infecté. Malgré ce mode de fonctionnement via le kernel, il parvient à ne pas causer de crash. Ce qui le rend difficile à détecter.
GollumApp, est encore plus sophistiqué, avec près de 1500 fonctions de code utilisateur.
Ces deux piliers de Slingshot permettent de réaliser du cyberespionnage avec une kyrielle de possibilités telles que des captures d’écran, le sniffing des saisies au clavier, la collecte de données de réseau, de mots de passe, du presse-papier…
Le tout sans exploiter de faille dite zero-day.
Mais, Slingshot se distingue également par sa capacité à passer sous le radar grâce à une multitude d’astuces mises en oeuvre.
Il dispose ainsi de son propre espace de fichiers chiffrés stockés sur le disque dur de l’ordinateur infecté. Slingshot se fend même d’une stratégie dite « anti-débogage » spécifique qui adopte les contre-mesures suivant les différentes solutions de sécurité.
Ce malware semble également avoir une longue durée de vie. A tel point qu’il est qualifié de menace persistante avancée (APT). De plus, le code malveillant étudié par les chercheurs étant estampillé « version 6.x », cela tend à confirmer qu’il soit en activité depuis une lognue période.
Slingshot semble si sophistiqué qu’il est très probable qu’un Etat soit derrière la menace.
Enfin, Kaspersky Lab préconise de s’assurer que le routeur a été mis à jour avec la dernière version de son système d’exploitation. Il est aussi conseillé d’avoir recours à un logiciel de sécurité éprouvé.
(Crédit image : bloomua – Shutterstock.com)
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…