Detectada una nueva APT: TajMahal

  • Actualidad

Los investigadores de Kaspersky Lab han detectado una nueva infraestructura spyware con 80 elementos maliciosos, funcionalidades únicas que se ven por primera vez en una amenaza avanzada persistente y sin conexión alguna con cualquier otro actor conocido. Aquí están todos los datos conocidos hasta el momento.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

Con estos datos, la firma de seguridad presenta esta nueva estructura de ciberespionaje técnicamente sofisticada y activa desde al menos 2013. A finales de del año pasado, sus analistas descubrieron esta APT que han bautizado como TajMahal por el nombre del archivo utilizado para extraer los datos robados y que cuenta con dos paquetes principales, autodenominados “Tokyo” y “Yokohama”.

El primero es el más pequeño e incluye tres módulos, entre ellos el que actúa como backdoor y que se conecta periódicamente con los servidores de comando y control. “Tokyo utiliza PowerShell y permanece en la red incluso después de que la intrusión haya pasado a la fase dos”, señala Kaspersky Lab.

Yokohama, que actua en la segunda fase, es  un completo esquema de ciberespionaje que incluye un sistema virtual de archivos  con todos los plugins, librerías de código abierto y propietario de terceros, y archivos de configuración. En total cuenta con cerca 80 módulos, desde cargadores, orquestadores, gestores de conexión a servidores de comando y control hasta complementos para grabación de audio, captura de pulsaciones del teclado, grabación de pantalla y Webcam, robo de documentos y claves criptográficas.

Según informa el especialista, TajMahal además es capaz de hacerse con las cookies del navegador, obtener la lista de copias de seguridad para dispositivos móviles de Apple, robar datos de un CD grabado por la víctima, así como los documentos que se encuentren en una cola de impresión. También puede robar un archivo concreto de una memoria USB. El robo se produciría en la siguiente conexión del USB al ordenador.

Los sistemas atacados encontrados por Kaspersky Lab estaban infectados con Tokyo y Yokohama. Hasta ahora solo se ha identificado una víctima, una delegación diplomática extranjera abierta en un país de Asia central, y que llevaba infectada desde 2014. La forma de distribución y los vectores infección de TajMahal son por ahora desconocidos.

Todos sus productos detectan y bloquean con éxito esta amenaza.