Pour gérer vos consentements :
Categories: MalwaresSécurité

Slingshot : Kaspersky présente le malware comme ultra-sophistiqué

Le malware Slingshot a été présenté au Security Analyst Summit de la firme Kaspersky Lab qui s’est tenu à Cancun au Mexique du 7 au 11 mars dernier.

L’occasion pour l’éditeur russe de donner plus de détails sur ce logiciel malveillant découvert accidentellement, après avoir repéré un dll suspect répondant au nom de fichier scesrv.dll.

Selon la firme de sécurité informatique, il procède de manière très singulière en compromettant des routeurs de marque MikroTik. Si ce dernier aurait réglé le problème sur ses serveurs, d’autres types de serveurs pourraient également servir de vecteur d’infection à Slingshot.

Les routeurs infectés téléchargent des fichiers DLL (Dynamic Link Library) avant de les exécuter. Une première extension DLL téléchargée agit comme un cheval de Troie afin de télécharger ensuite divers autres fichiers malveillants.

Deux modules ultra-sophistiqués

Par ailleurs, Slingshot s’appuie sur deux modules que Kaspersky qualifie de chefs-d’oeuvre dans son billet de blog : GollumApp et Cahnadr.

Exécuté par le kernel de l’OS, ce dernier offre aux attaquants un contrôle total, sans aucune limitation, de l’ordinateur infecté. Malgré ce mode de fonctionnement via le kernel, il parvient à ne pas causer de crash. Ce qui le rend difficile à détecter.

GollumApp, est encore plus sophistiqué, avec près de 1500 fonctions de code utilisateur.

Ces deux piliers de Slingshot permettent de réaliser du cyberespionnage avec une kyrielle de possibilités telles que des captures d’écran, le sniffing des saisies au clavier, la collecte de données de réseau, de mots de passe, du presse-papier…

Le tout sans exploiter de faille dite zero-day.

Un malware très furtif

Mais, Slingshot se distingue également par sa capacité à passer sous le radar grâce à une multitude d’astuces mises en oeuvre.

Il dispose ainsi de son propre espace de fichiers chiffrés stockés sur le disque dur de l’ordinateur infecté. Slingshot se fend même d’une stratégie dite « anti-débogage » spécifique qui adopte les contre-mesures suivant les différentes solutions de sécurité.

Ce malware semble également avoir une longue durée de vie. A tel point qu’il est qualifié de menace persistante avancée (APT). De plus, le code malveillant étudié par les chercheurs étant estampillé « version 6.x », cela tend à confirmer qu’il soit en activité depuis une lognue période.

Slingshot semble si sophistiqué qu’il est très probable qu’un Etat soit derrière la menace.

Enfin, Kaspersky Lab préconise de s’assurer que le routeur a été mis à jour avec la dernière version de son système d’exploitation. Il est aussi conseillé d’avoir recours à un logiciel de sécurité éprouvé.

(Crédit image : bloomua – Shutterstock.com)

Recent Posts

Data et analytique : pour quel retour sur investissement ?

EY qualifie de "dépassement des attentes" une utilisation des mégadonnées et de l'analyse avancée à…

6 heures ago

Mobile et systèmes industriels : les chantiers du framework ATT@CK

Passé en v11, le framework MITRE ATT@CK renforce sa matrice Mobile. Il en sera de…

7 heures ago

Cybersécurité : Thales s’offre S21sec et Excellium pour 120 M€

L'acquisition vient renforcer l’offre de Thales dans le conseil, l'intégration et les services managés de…

11 heures ago

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

1 jour ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

1 jour ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

1 jour ago