Kaspersky Lab descobre plataforma sofisticada de espionagem com 80 módulos maliciosos

0

A Kaspersky Lab anuncia a descoberta de uma infraestrutura sofisticada de ciberespionagem que tem estado ativa desde 2013 e que parece estar desconectada de hackers conhecidos. A infraestrutura tem o nome de "TajMahal", inclui 80 módulos maliciosos e funcionalidades nunca antes vistas em ameaças persistente avançadas, tais como roubo de informação em impressoras e de dispositivos USB.

Até agora, a Kaspersky Lab identificou uma embaixada situada na Ásia Central como a única vítima, mas é muito provável que outras entidades tenham sido afetadas.

Os especialistas da Kaspersky Lab descobriram o "TajMahal" no final de 2018. Esta é uma infraestrutura de APT tecnicamente sofisticada, desenhada para uma vasta ação de ciberespionagem.

A análise de malware mostra que a plataforma foi desenvolvida e utilizada, pelo menos, nos últimos cinco anos, sendo que a data da amostra mais antiga é de abril de 2013 e a mais recente de agosto de 2018.

O nome "TajMahal" vem do nome do arquivo utilizado para extrair a informação roubada. Estima-se que a infraestrutura "TajMahal" inclua dois pacotes principais chamados "Tokyo" e "Yokohama".

"Tokyo" é o menor pacote e tem cerca de três módulos. Contém a funcionalidade principal de backdoor e conecta-se periodicamente com os servidores de comando e controle. "Tokyo" aproveita o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois.

O nível dois diz respeito ao pacote "Yokohama": uma infraestrutura cheia de ferramentas de espionagem. Este inclui um Sistema Virtual de Arquivos (VFS) com plugins, open source, bibliotecas de terceiros e arquivos de configuração. Existem cerca de 80 módulos no total que incluem carregadores, orquestradores, comunicadores de comando e controle, gravadores de áudio, keyloggers, grabbers de webcam e ecrã, documentos e ferramentas para roubar chaves de criptografia.

O "TajMahal" também é capaz de roubar cookies do navegador, coletar a lista de backup de dispositivos móveis da Apple, roubar dados de um CD gravado pela vítima, bem como documentos que estão na fila de uma impressora. Pode também solicitar o roubo de um arquivo em específico, visto anteriormente em pen drives, e ele passa a ser roubado na próxima vez que for conectada à entrada USB do computador.

Os sistemas-alvo identificados pela Kaspersky Lab foram infectados por ambos os pacotes "Tokyo" e "Yokohama". Isto sugere que o "Tokyo" foi utilizado no primeiro nível da infeção, inserindo o pacote "Yokohama" nas vítimas de interesse e deixando-o lá para fins de backup.

Até agora, apenas uma vítima foi identificada: uma entidade diplomática na Ásia Central com base estrangeira e que foi infectada em 2014. Os vetores de distribuição e infecção do "TajMahal" continuam desconhecidos.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.