Un nuevo Taj Mahal (entre Tokio y Yokohama)

10 Abr 2019

En otoño del 2018, detectamos un ataque en una organización diplomática perteneciente a un país de Asia Central. Hasta aquí nada llama nuestra atención (los diplomáticos y sus sistemas de información siempre han atraído el interés de varias fuerzas políticas), a excepción de la herramienta utilizada: una nueva plataforma de APT con el nombre de TajMahal.

TajMahal, además de un simple conjunto de puertas traseras, es una infraestructura spyware de alta tecnología y calidad con una gran variedad de complementos (nuestros expertos han descubierto 80 módulos maliciosos por el momento), lo que permite todo tipo de situaciones de ataque utilizando diversas herramientas. Según nuestros expertos, TajMahal ha estado activo los últimos cinco años, por lo que, el hecho de que solo se haya confirmado una víctima hasta la fecha sugiere que quedan otras muchas por identificar.

¿Qué es capaz de hacer TajMahal?

Esta plataforma de APT consta de dos partes principales: Tokio y Yokohama, ambas detectadas en todos los ordenadores infectados. Tokio actúa como la puerta trasera principal y envía la segunda etapa del malware. Es interesante señalar que permanece en el sistema incluso después de que la segunda fase comience, para ejercer como un canal de comunicación adicional. Por su parte, Yokohama realiza la carga de las armas en la segunda etapa. Genera un sistema de archivo virtual completo con complementos, librerías de terceros y archivos de configuración. Su arsenal es muy variado, ya que es capaz de:

  • Robar cookies.
  • Interceptar documentos de la cola de la impresora.
  • Recopilar datos sobre la víctima (incluidas las copias de seguridad de su dispositivo iOS).
  • Registrar o realizar capturas de pantalla de llamadas VoIP.
  • Robar las imágenes de disco óptico generadas por la víctima.
  • Indexar archivos, incluidos aquellos de los lectores externos, y robar archivos específicos cuando se vuelva a detectar lector.

Conclusión

La complejidad técnica de TajMahal resulta muy preocupante, además, es muy probable que el número de víctimas identificadas hasta la fecha aumente, pero, cabe añadir que los productos de Kaspersky Lab son capaces de detectar esta APT. Encontrarás un informe mucho más detallado en Securelist.

La amenaza fue descubierta por primera vez con nuestras tecnologías heurísticas y automáticas. Por tanto, para protegerse contra TajMahal y sus semejantes, lo más acertado es utilizar soluciones de seguridad probadas como Kaspersky Security for Business.