Home Ciberguerra Kaspersky Lab: El nuevo malware de APT’TajMahal’, permite el espionaje

Kaspersky Lab: El nuevo malware de APT’TajMahal’, permite el espionaje

Según un informe de Kaspersky Lab, un nuevo tipo de malware, denominado TajMahal, ofrece a sus usuarios una gran cantidad de técnicas de espionaje, incluyendo la capacidad de robar documentos enviados a una cola de impresión y robar datos de un CD.

Las primeras muestras conocidas de este malware datan de 2013, y su primer y único uso documentado se remonta a 2014. Los investigadores de Kaspersky comenzaron a estudiarlo a finales de 2018, consta en el informe.

“El marco de trabajo de TajMahal es un hallazgo muy interesante e intrigante”, indicó un investigador de Kaspersky, quien trabajó en el análisis.

“La sofisticación técnica está fuera de toda duda, y parece poco probable que una inversión tan grande se realice para una sola víctima. Una hipótesis probable sería que hay otras víctimas adicionales que aún no hemos encontrado. También puede haber versiones adicionales de este malware que aún no han sido detectadas”, agregó el experto.

Kaspersky anunció el descubrimiento de TajMahal en la Cumbre de Analistas de Seguridad 2019 en Singapur. En la exposición, los expertos también describieron otra operación de APT llamada Gaza Cybergang, que se dirigió a cientos de víctimas en 39 países, y un nuevo mercado de redes oscuras llamado Génesis, que comercia con identificaciones digitales robadas que se venden entre 5 y 200 dólares cada una.

Aunque no se sabe mucho sobre TajMahal, o el grupo que creó el malware, el análisis de Kaspersky pinta una imagen de un marco altamente sofisticado capaz de varios tipos de técnicas de espionaje. Los investigadores dicen que encontraron alrededor de 80 módulos maliciosos almacenados en su sistema de archivos virtuales cifrados, así como uno de los números más altos de plugins jamás registrados en este tipo de conjunto de herramientas.

Además de robar documentos de impresoras y datos de CDs, el software malicioso, también puede solicitar el robo de un archivo en particular de una memoria USB vista previamente. La próxima vez que el dispositivo se conecte a un PC, el archivo se tomará, informa Kaspersky.

Otras características de TajMahal, incluyen puertas traseras, cargadores, orquestadores, comunicación de mando y control, grabadores de audio, registradores de teclado, capturadores de pantallas y cámaras web, documentos y ladrones de claves de criptografía. Incluso tiene su propio indexador de archivos para el equipo al que va dirigido.

El marco TajMahal consiste en dos paquetes -denominados Tokio y Yokohama- que funcionan juntos. Ambos comparten el mismo código base.

Cuando los analistas estudiaron el sistema infectado, se encontraron ambos paquetes. Parece que primero se despliega Tokio, que luego abre la puerta a Yokohama, que puede apuntar a las víctimas específicas que los atacantes están buscando y puede quedarse para hacer copias de seguridad.

La víctima conocida envió un archivo al laboratorio de la compañía para su análisis. Un examen demostró lo sofisticado que es el malware y que el grupo que está detrás de él dedica mucho tiempo y esfuerzo a crearlo.

“El archivo resultó ser un plugin malicioso de un nivel de sofisticación que sugería un APT, y la falta de similitud de código con cualquier ataque conocido sugería que se trataba de un APT desconocido anteriormente”, dice el investigador. “Esto desencadenó una investigación más profunda, que llevó a los investigadores a la conclusión de que el malware era parte de una plataforma de ciberespionaje desconocida hasta ahora y extremadamente rara”.

La única pequeña conexión que el analista pudo encontrar es una muestra de malware llamada Turla, que había sido vinculada a la inteligencia rusa. Dentro de ese archivo malicioso había una referencia a una operación llamada “TadjMakhal”.

El experto reveló que la única víctima conocida de TajMahal, también ha sido blanco de otro grupo de la APT llamado Zebrocy, que también puede haber estado vinculado a la inteligencia rusa.

Con información de: ADSLZone.