Slingshot, como ha publicado la compañía en su blog oficial, consiste en un troyano con el que los atacantes infectan un equipo para hacerse con su control. En este caso, emplearon los ‘routers’ MikroTik para introducir un archivo con código ejecutable DLL a un paquete legítimo de otros archivos DLL y así comprometer los dispositivos con el objetivo de tener el control del ordenador sin que el usuario se diera cuenta.
El archivo DLL malicioso iniciaba un programa de descarga de otros archivos infectados, que se almacenaban en el ‘router’, como ha detallado la compañía. Además, este archivo DLL contaba con la capacidad de obtener privilegios del sistema por medio de la ejecución de ‘malware’ en modo kernel.
Slingshot empleaba distintos ‘malware’ para atacar, pero de entre ellos destacaban Cahnadr, un módulo de modo kernel que otorgaba el control del equipo, y GollumApp, un módulo de modo usuario con más de 1.500 funciones. Con ellos, Slingshot podía recopilar capturas de pantalla, datos de teclado, datos de red, contraseñas y otras actividades de escritorio, como han detallado desde Kaspersky.
Este ataque contaba, además, con mecanismos que evitaban su detección. Por ejemplo, si detectaba una investigación forense, Slingshot podía cerrar sus componentes, o incluso usar su sistema de encriptación de archivos en una parte sin usar del disco duro.
Como ha informado la compañía de ciberseguridad, los ‘routers’ afectados se corresponden a los de la marca MikroTik, pero puede haber más, dado que MikroTik ya trabajó en una solución para frenar a este troyano. Por ello, desde Kaspersky aconsejan actualizar la última versión del software del ‘router’ y del software de gestión WinBox, aunque matizan que la actualización solo protege de un vector de ataque y no de esta Amenaza Avanzada Persistente (APT) en sí.