Fuente: https://www.redeszone.net/2018/03/1...e/?utm_source=related_posts&utm_medium=widget
Utilizan routers MikroTik para infectar equipos Windows
Aliados es lo que no les falta a los ciberdelincuentes para llevar a cabo ataques. Son muchos los fallos de seguridad en dispositivos y softwares que se pueden aprovechar para distribuir malware entre los usuarios y empresas. En este caso en concreto, los ciberdelincuentes pertenecientes al grupo Slingshot se han topado con routers MikroTik que no son seguros. Esto permite a los ciberdelincuentes instalar malware en los equipos que ejecuten sistemas operativos Windows.
Para todo aquel que se encuentre más o menos al día en el mundillo de los ciberataques, conocerá este grupo. Expertos en seguridad estiman que fue en el año 2012 cuando comenzaron su actividad. Actualmente, aún se encuentran en activo, y una prueba de ello es el ataque que nos ocupa.
Aunque ha sido ahora cuando se han tenido evidencias firmes del ataque, investigadores de Kaspersky indican que comenzó a mediados del pasado mes. Indican que este grupo siempre ha destacado por realizar ataques con software complejo. Algunos añaden que se trata de un grupo que podría ser sustentado por el gobierno de algún país, pero esto último es algo que aún no se sabe a ciencia cierta.
Desde Kaspersky se reafirman en que se han invertido muchas horas para el desarrollo del malware, y que la vía de difusión resulta cuanto menos innovadora, escapando de las tradicionales, como, por ejemplo, el correo electrónico.
En la mayoría de ocasiones, este grupo de ciberdelincuentes ha recurrido a scripts existentes para sistemas operativos Windows. Pero en esta ocasión, han decidido ir un paso más allá, valiéndose de routers MikroTik que poseen algún tipo de carencia a nivel de seguridad.
Para ser más precisos, este fallo permite distribuir el software malicioso con la ayuda de Winbox Loader. Los que no conozcan esta herramienta, indicar que se trata de un software desarrollado por el propio fabricante MikroTik, permitiendo a los usuarios la configuración de los equipos de una forma mucho más sencilla.
La vulnerabilidad en los routers MikroTik
Desde Kaspersky han indicado que existe un fallo en el funcionamiento conjunto del router con la aplicación de configuración disponible para Windows. El modo de operación de estos ciberdelincuentes se ha reportado al fabricante, que ha realizado algunos cambios en la aplicación Winbox Loader.
El router se utilizaba para distribuir DLLs con código malware. Todo ello se realizaba utilizando la aplicación de escritorio.
Desde Kaspersky indican que a los equipos de los usuarios se les ha infectado utilizando dos amenazas: GollumApp y Cahnadr.
Información sobre estas amenazas
El despliegue de estas amenazas y cómo consiguen permisos de administrador también es un método astuto. Una vez modificadas las DLLs, se realiza la distribución de versiones de drivers de dispositivos antiguas. O lo que es lo mismo, software que posee fallos de seguridad. De esta forma, el malware puede valerse de estas para conseguir permisos dentro del equipo.
La finalidad de estas amenazas es conseguir acceso a las funciones de kernel del sistema operativo. Añaden que cualquier versión de Windows se puede ver afectada, incluso las más recientes.
En lo que se refiere a los objetivos, es lo que no termina de encajar a los investigadores. Por el momento, solo entidades singulares se están viendo afectadas. El grupo de ciberdelincuentes no se está centrando en instituciones, algo que sería lo más lógico, dada la información manejada en la inmensa mayoría.
Utilizan routers MikroTik para infectar equipos Windows
Aliados es lo que no les falta a los ciberdelincuentes para llevar a cabo ataques. Son muchos los fallos de seguridad en dispositivos y softwares que se pueden aprovechar para distribuir malware entre los usuarios y empresas. En este caso en concreto, los ciberdelincuentes pertenecientes al grupo Slingshot se han topado con routers MikroTik que no son seguros. Esto permite a los ciberdelincuentes instalar malware en los equipos que ejecuten sistemas operativos Windows.
Para todo aquel que se encuentre más o menos al día en el mundillo de los ciberataques, conocerá este grupo. Expertos en seguridad estiman que fue en el año 2012 cuando comenzaron su actividad. Actualmente, aún se encuentran en activo, y una prueba de ello es el ataque que nos ocupa.
Aunque ha sido ahora cuando se han tenido evidencias firmes del ataque, investigadores de Kaspersky indican que comenzó a mediados del pasado mes. Indican que este grupo siempre ha destacado por realizar ataques con software complejo. Algunos añaden que se trata de un grupo que podría ser sustentado por el gobierno de algún país, pero esto último es algo que aún no se sabe a ciencia cierta.
Desde Kaspersky se reafirman en que se han invertido muchas horas para el desarrollo del malware, y que la vía de difusión resulta cuanto menos innovadora, escapando de las tradicionales, como, por ejemplo, el correo electrónico.
En la mayoría de ocasiones, este grupo de ciberdelincuentes ha recurrido a scripts existentes para sistemas operativos Windows. Pero en esta ocasión, han decidido ir un paso más allá, valiéndose de routers MikroTik que poseen algún tipo de carencia a nivel de seguridad.
Para ser más precisos, este fallo permite distribuir el software malicioso con la ayuda de Winbox Loader. Los que no conozcan esta herramienta, indicar que se trata de un software desarrollado por el propio fabricante MikroTik, permitiendo a los usuarios la configuración de los equipos de una forma mucho más sencilla.
La vulnerabilidad en los routers MikroTik
Desde Kaspersky han indicado que existe un fallo en el funcionamiento conjunto del router con la aplicación de configuración disponible para Windows. El modo de operación de estos ciberdelincuentes se ha reportado al fabricante, que ha realizado algunos cambios en la aplicación Winbox Loader.
El router se utilizaba para distribuir DLLs con código malware. Todo ello se realizaba utilizando la aplicación de escritorio.
Desde Kaspersky indican que a los equipos de los usuarios se les ha infectado utilizando dos amenazas: GollumApp y Cahnadr.
Información sobre estas amenazas
El despliegue de estas amenazas y cómo consiguen permisos de administrador también es un método astuto. Una vez modificadas las DLLs, se realiza la distribución de versiones de drivers de dispositivos antiguas. O lo que es lo mismo, software que posee fallos de seguridad. De esta forma, el malware puede valerse de estas para conseguir permisos dentro del equipo.
La finalidad de estas amenazas es conseguir acceso a las funciones de kernel del sistema operativo. Añaden que cualquier versión de Windows se puede ver afectada, incluso las más recientes.
En lo que se refiere a los objetivos, es lo que no termina de encajar a los investigadores. Por el momento, solo entidades singulares se están viendo afectadas. El grupo de ciberdelincuentes no se está centrando en instituciones, algo que sería lo más lógico, dada la información manejada en la inmensa mayoría.