Un nuevo Taj Mahal (entre Tokio y Yokohama)

11 Abr 2019

En otoño del 2018, detectamos un ataque en una organización diplomática perteneciente a un país de Asia Central. Hasta aquí no hay nada nuevo (los diplomáticos y sus sistemas de información cada tanto atraen el interés de varias fuerzas políticas), con excepción de la herramienta utilizada: una nueva plataforma de APT con el nombre de TajMahal.

TajMahal, además de un simple conjunto de puertas traseras, es una infraestructura spyware de alta tecnología y calidad con una gran variedad de complementos o plugins (a la fecha, nuestros expertos han descubierto 80 módulos maliciosos), lo que permite todo tipo de situaciones de ataque utilizando diversas herramientas. Según nuestros expertos, TajMahal ha estado activo los últimos cinco años, por lo que, el hecho de que solo se haya confirmado una víctima hasta la fecha sugiere que quedan otras muchas por identificar.

¿Qué es capaz de hacer TajMahal?

Esta plataforma de APT consta de dos partes principales: Tokio y Yokohama, ambas detectadas en todos los ordenadores infectados. Tokio actúa como la puerta trasera principal y envía la segunda etapa del malware. Cabe señalar que permanece en el sistema incluso después de que la segunda fase comience, para ejercer como un canal de comunicación adicional. Por su parte, Yokohama realiza la carga nociva de la segunda etapa, pues genera un sistema de archivo virtual completo con complementos, librerías de terceros y archivos de configuración. Su arsenal es muy variado, al punto de:

  • Robar cookies.
  • Interceptar documentos de la fila de impresión.
  • Recopilar datos sobre la víctima (incluidas las copias de seguridad de su dispositivo iOS).
  • Registrar o realizar capturas de pantalla de llamadas VoIP.
  • Robar las imágenes de disco óptico generadas por la víctima.
  • Indexar archivos, incluidos aquellos de unidades externas, y robar archivos específicos cuando se vuelva a detectar la unidad.

Conclusión

La complejidad técnica de TajMahal resulta muy preocupante, además, es muy probable que el número de víctimas identificadas hasta la fecha aumente. Dicho esto, los productos de Kaspersky Lab son capaces de detectar esta APT. Encontrarás un informe mucho más detallado en Securelist.

La amenaza fue descubierta por primera vez con nuestras tecnologías heurísticas y automáticas. Por tanto, para protegerse contra TajMahal y sus semejantes, lo más acertado es utilizar soluciones de seguridad probadas