Llegamos a ustedes gracias a:



Alertas de Seguridad

Kaspersky Lab descubre a TajMahal

Una infraestructura sofisticada de espionaje con 80 elementos maliciosos

[15/04/2019] Analistas de Kaspersky Lab han descubierto una infraestructura técnicamente sofisticada de ciberespionaje que ha estado activa desde al menos el 2013 y que no aparenta tener conexión alguna con otro actor de amenazas conocido. La infraestructura, denominada TajMahal por los analistas, y según lo señalado, cuenta con cerca de 80 elementos maliciosos e incluye funcionalidades nunca antes vistas en amenazas persistentes avanzadas (APT, por sus siglas en inglés), como la habilidad de robar información de la cola de trabajos de impresoras y de dispositivos USB. Hasta ahora, Kaspersky Lab ha identificado a una embajada situada en Asia Central como la única víctima, pero es muy probable que otras entidades hayan sido afectadas.

Los especialistas de Kaspersky Lab descubrieron a TajMahal a finales del 2018. Esta es una infraestructura de APT técnicamente sofisticada, diseñada para una extensa operación de ciberespionage. El análisis de malware muestra que la plataforma ha sido desarrollada y utilizada durante, al menos, los últimos cinco años, con la muestra más antigua con fecha del 2013 y la más reciente de agosto del 2018. El nombre TajMahal proviene del alias del archivo utilizado para extraer los datos robados.Se estima que el marco de trabajo de TajMahal incluye dos paquetes principales, autodenominados "Tokyo y "Yokohama.

"Tokyo es el más pequeño de los dos, con alrededor de tres módulos. Contiene la funcionalidad de puerta trasera y se conecta periódicamente con los servidores de comando y control. Tokyo utiliza PowerShell y permanece en la red incluso después de que la intrusión haya pasado por la segunda etapa, señaló Alexey Shulmin, analista jefe de malware en Kaspersky Lab.

La segunda etapa, añadió el especialista, pertenece al paquete de Yokohama: una infraestructura de espionaje completa. Yokohama incluye un sistema virtual de archivos (VFS, por sus siglas en inglés) con todos los plugins, bibliotecas de código abierto y propietario de terceros, y archivos de configuración."En total cuenta con cerca de 80 módulos que incluyen cargadores, orquestadores, gestores de conexión a servidores de comando y control, así como complementos para grabación de audio, captura de pulsaciones del teclado, grabación de pantalla y cámara web, al igual que herramientas para el robo de documentos y claves criptográficas, indicó Shulmin.

Agregó que, TajMahal también es capaz de robar las cookies del navegador, recopilar la lista de copias de seguridad para dispositivos móviles de Apple, robar datos de un CD grabado por la víctima, y los documentos que están en cola en una impresora. Además, puede solicitar el robo de un archivo en particular, visto anteriormente, de una memoria USB, el cuál será extraído la próxima vez que el USB se conecte al computador.

"Los sistemas atacados encontrados por Kaspersky Lab fueron infectados por ambos, Tokyo y Yokohama. Esto sugiere que Tokyo fue la primera etapa de infección, implementando el paquete multifuncional de Yokohama en los objetivos de interés, dejando a Tokyo residente como copia de seguridad, indicó Shulmin.

El analista finalizó señalando que, hasta ahora, solo se ha detectado a una víctima -una entidad diplomática extranjera con base en un país de Asia Central, infectada en el 2014. Hasta ahora, los vectores de distribución e infección de TajMahal permanecen desconocidos.

Para evitar convertirse en víctima de algún APT creado por actores de amenaza conocidos o desconocidos, los especialistas de Kaspersky Lab recomiendan implementar las siguientes medidas:

  • Utilice herramientas de seguridad avanzadas y asegúrese de que su equipo de seguridad tenga acceso a los reportes de inteligencia de ciberamenazas más recientes.
  • Actualice regularmente todos los programas utilizados en su organización, particularmente cuando se emita un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar este proceso.
  • Elija una solución de seguridad probada que esté equipada con capacidades de detección basadas en el comportamiento para una protección efectiva contra amenazas conocidas y desconocidas, incluidas las vulnerabilidades.
  • Garantice que su equipo entienda las reglas básicas de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otra técnica de ingeniería social.