Redacción 11 abril, 2019
TajMahal

Los investigadores de seguridad cibernética revelaron ayer la existencia de un marco de software espía altamente sofisticado denominado TajMahal que ha estado funcionando durante al menos los últimos 5 años, pero que no se detectó hasta hace poco.

Apodado por los investigadores en Kaspersky Lab TajMahal, el marco APT es un conjunto de herramientas de malware de alta tecnología modular que no solo admite una gran cantidad de complementos maliciosos para distintas operaciones de espionaje, sino que también incluye trucos nunca vistos y desconocidos.

Por cierto, Kaspersky no mencionó por qué llamaron al marco después de Taj Mahal, una de las 7 Maravillas del Mundo ubicadas en la India.

TajMahal toolkit fue descubierto por primera vez por investigadores de seguridad a fines del año pasado, cuando los piratas informáticos lo usaron para espiar las computadoras de una organización diplomática perteneciente a un país de Asia Central cuya nacionalidad y ubicación no han sido reveladas.

Sin embargo, las muestras de malware examinadas por los investigadores sugieren que el grupo de ciberespionaje detrás del ataque ha estado activo al menos desde agosto de 2014.

El marco TajMahal consta de dos paquetes principales: «Tokio» y «Yokohama», que en conjunto contienen más de 80 módulos maliciosos distintos. que, según los investigadores, es uno de los números más altos de complementos jamás vistos para un conjunto de herramientas APT.

Poderosa APT

«Incluye puertas traseras, cargadores, orquestadores, comunicadores C2, grabadores de audio, registradores de teclas, capturadores de cámaras y cámaras web, ladrones de documentos y criptografía, e incluso su propio indexador de archivos para la máquina de la víctima», dicen los investigadores.

Los investigadores aún no han descubierto cómo TajMahal infectó a sus objetivos en el primer lugar, pero sí revelan que una vez que se accedió, la primera etapa de la infección de Tokio se descarga en las máquinas específicas, que luego entregan el malware de segunda etapa completamente funcional, Yokohama .

malware tajmahal

Yokohama almacena módulos maliciosos en su Sistema de archivos virtual encriptado que permite que el malware:

  • registrar las pulsaciones de teclado,
  • roba cookies y datos del navegador, incluida la copia de seguridad para dispositivos móviles de Apple,
  • grabar y tomar capturas de pantalla de llamadas VoIP,
  • robar imágenes de CD escritas,
  • Robar documentos enviados a la cola de la impresora.

Además de las capacidades de espionaje habituales, el malware también incluye algunas características más exclusivas, como solicitar el robo de un archivo en particular de una memoria USB conectada previamente. Entonces, la próxima vez que el USB esté conectado a la computadora infectada, el archivo será robado.

Aunque los investigadores encontraron solo una víctima de TajMahal hasta ahora, pero dada la sofisticación del marco, creen que hay otras víctimas que aún no se han descubierto.

«Hasta ahora hemos detectado una sola víctima basada en nuestra telemetría», dijo Kaspersky.

«Esta teoría se ve reforzada por el hecho de que no pudimos ver cómo uno de los archivos en el VFS fue utilizado por el malware, lo que abre la puerta a la posibilidad de versiones adicionales del malware que aún no se han detectado».

Se pueden encontrar detalles técnicos adicionales en el blog SecureList , donde los investigadores también han publicado un conjunto completo de Indicadores de compromiso (IOC) y una lista completa de 80 módulos maliciosos almacenados en el malware con una breve descripción que describe lo que hacen.