{"id":14363,"date":"2019-04-11T10:37:25","date_gmt":"2019-04-11T16:37:25","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14363"},"modified":"2019-11-22T02:49:58","modified_gmt":"2019-11-22T08:49:58","slug":"taj-mahal-apt","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/taj-mahal-apt\/14363\/","title":{"rendered":"Un nuevo Taj Mahal (entre Tokio y Yokohama)"},"content":{"rendered":"
En oto\u00f1o del 2018, detectamos un ataque en una organizaci\u00f3n diplom\u00e1tica perteneciente a un pa\u00eds de Asia Central. Hasta aqu\u00ed no hay nada nuevo (los diplom\u00e1ticos y sus sistemas de informaci\u00f3n cada tanto atraen el inter\u00e9s de varias fuerzas pol\u00edticas), con excepci\u00f3n de la herramienta utilizada: una nueva plataforma de APT con el nombre de TajMahal.<\/p>\n
TajMahal, adem\u00e1s de un simple conjunto de puertas traseras, es una infraestructura spyware<\/em> de alta tecnolog\u00eda y calidad con una gran variedad de complementos o plugins<\/em> (a la fecha, nuestros expertos han descubierto 80 m\u00f3dulos maliciosos), lo que permite todo tipo de situaciones de ataque utilizando diversas herramientas. Seg\u00fan nuestros expertos, TajMahal ha estado activo los \u00faltimos cinco a\u00f1os, por lo que, el hecho de que solo se haya confirmado una v\u00edctima hasta la fecha sugiere que quedan otras muchas por identificar.<\/p>\n
\u00bfQu\u00e9 es capaz de hacer TajMahal?<\/strong><\/p>\n
Esta plataforma de APT consta de dos partes principales: Tokio y Yokohama, ambas detectadas en todos los ordenadores infectados. Tokio act\u00faa como la puerta trasera principal y env\u00eda la segunda etapa del malware<\/em>. Cabe se\u00f1alar que permanece en el sistema incluso despu\u00e9s de que la segunda fase comience, para ejercer como un canal de comunicaci\u00f3n adicional. Por su parte, Yokohama realiza la carga nociva de la segunda etapa, pues genera un sistema de archivo virtual completo con complementos, librer\u00edas de terceros y archivos de configuraci\u00f3n. Su arsenal es muy variado, al punto de:<\/p>\n
\n
Robar cookies<\/em>.<\/li>\n
Interceptar documentos de la fila de impresi\u00f3n.<\/li>\n
Recopilar datos sobre la v\u00edctima (incluidas las copias de seguridad de su dispositivo iOS).<\/li>\n
Registrar o realizar capturas de pantalla de llamadas VoIP.<\/li>\n
Robar las im\u00e1genes de disco \u00f3ptico generadas por la v\u00edctima.<\/li>\n
Indexar archivos, incluidos aquellos de unidades externas, y robar archivos espec\u00edficos cuando se vuelva a detectar la unidad.<\/li>\n<\/ul>\n
<\/p>\n
Conclusi\u00f3n<\/strong><\/p>\n
La complejidad t\u00e9cnica de TajMahal resulta muy preocupante, adem\u00e1s, es muy probable que el n\u00famero de v\u00edctimas identificadas hasta la fecha aumente. Dicho esto, los productos de Kaspersky Lab son capaces de detectar esta APT. Encontrar\u00e1s un informe mucho m\u00e1s detallado en Securelist<\/a>.<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2019\/04\/10100155\/The_TajMahal_attackprocess_final.jpg\")
<\/p>\n