{"id":18236,"date":"2019-04-10T13:59:40","date_gmt":"2019-04-10T11:59:40","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18236"},"modified":"2019-11-22T10:54:20","modified_gmt":"2019-11-22T08:54:20","slug":"taj-mahal-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/taj-mahal-apt\/18236\/","title":{"rendered":"Un nuevo Taj Mahal (entre Tokio y Yokohama)"},"content":{"rendered":"
En oto\u00f1o del 2018, detectamos un ataque en una organizaci\u00f3n diplom\u00e1tica perteneciente a un pa\u00eds de Asia Central. Hasta aqu\u00ed nada llama nuestra atenci\u00f3n (los diplom\u00e1ticos y sus sistemas de informaci\u00f3n siempre han atra\u00eddo el inter\u00e9s de varias fuerzas pol\u00edticas), a excepci\u00f3n de la herramienta utilizada: una nueva plataforma de APT con el nombre de TajMahal.<\/p>\n
TajMahal, adem\u00e1s de un simple conjunto de puertas traseras, es una infraestructura spyware<\/em> de alta tecnolog\u00eda y calidad con una gran variedad de complementos (nuestros expertos han descubierto 80 m\u00f3dulos maliciosos por el momento), lo que permite todo tipo de situaciones de ataque utilizando diversas herramientas. Seg\u00fan nuestros expertos, TajMahal ha estado activo los \u00faltimos cinco a\u00f1os, por lo que, el hecho de que solo se haya confirmado una v\u00edctima hasta la fecha sugiere que quedan otras muchas por identificar.<\/p>\n
\u00bfQu\u00e9 es capaz de hacer TajMahal?<\/h3>\n
Esta plataforma de APT consta de dos partes principales: Tokio y Yokohama, ambas detectadas en todos los ordenadores infectados. Tokio act\u00faa como la puerta trasera principal y env\u00eda la segunda etapa del malware<\/em>. Es interesante se\u00f1alar que permanece en el sistema incluso despu\u00e9s de que la segunda fase comience, para ejercer como un canal de comunicaci\u00f3n adicional. Por su parte, Yokohama realiza la carga de las armas en la segunda etapa. Genera un sistema de archivo virtual completo con complementos, librer\u00edas de terceros y archivos de configuraci\u00f3n. Su arsenal es muy variado, ya que es capaz de:<\/p>\n
\n
Robar cookies<\/em>.<\/li>\n
Interceptar documentos de la cola de la impresora.<\/li>\n
Recopilar datos sobre la v\u00edctima (incluidas las copias de seguridad de su dispositivo iOS).<\/li>\n
Registrar o realizar capturas de pantalla de llamadas VoIP.<\/li>\n
Robar las im\u00e1genes de disco \u00f3ptico generadas por la v\u00edctima.<\/li>\n
Indexar archivos, incluidos aquellos de los lectores externos, y robar archivos espec\u00edficos cuando se vuelva a detectar lector.<\/li>\n<\/ul>\n
<\/p>\n
Conclusi\u00f3n<\/h3>\n
La complejidad t\u00e9cnica de TajMahal resulta muy preocupante, adem\u00e1s, es muy probable que el n\u00famero de v\u00edctimas identificadas hasta la fecha aumente, pero, cabe a\u00f1adir que los productos de Kaspersky Lab son capaces de detectar esta APT. Encontrar\u00e1s un informe mucho m\u00e1s detallado en Securelist<\/a>.<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2019\/04\/10132149\/The_TajMahal_attackprocess_final.jpg\")
<\/p>\n