TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Kaspersky Lab descobre plataforma sofisticada de espionagem com 80 módulos maliciosos

Postado em: 10/04/2019, às 20:30 por Redação

A Kaspersky Lab anuncia a descoberta de uma infraestrutura sofisticada de ciberespionagem que tem estado ativa desde 2013 e que parece estar desconectada de hackers conhecidos. A infraestrutura tem o nome de "TajMahal", inclui 80 módulos maliciosos e funcionalidades nunca antes vistas em ameaças persistente avançadas, tais como roubo de informação em impressoras e de dispositivos USB.

Até agora, a Kaspersky Lab identificou uma embaixada situada na Ásia Central como a única vítima, mas é muito provável que outras entidades tenham sido afetadas.

Os especialistas da Kaspersky Lab descobriram o "TajMahal" no final de 2018. Esta é uma infraestrutura de APT tecnicamente sofisticada, desenhada para uma vasta ação de ciberespionagem.

A análise de malware mostra que a plataforma foi desenvolvida e utilizada, pelo menos, nos últimos cinco anos, sendo que a data da amostra mais antiga é de abril de 2013 e a mais recente de agosto de 2018.

O nome "TajMahal" vem do nome do arquivo utilizado para extrair a informação roubada. Estima-se que a infraestrutura "TajMahal" inclua dois pacotes principais chamados "Tokyo" e "Yokohama".

"Tokyo" é o menor pacote e tem cerca de três módulos. Contém a funcionalidade principal de backdoor e conecta-se periodicamente com os servidores de comando e controle. "Tokyo" aproveita o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois.

O nível dois diz respeito ao pacote "Yokohama": uma infraestrutura cheia de ferramentas de espionagem. Este inclui um Sistema Virtual de Arquivos (VFS) com plugins, open source, bibliotecas de terceiros e arquivos de configuração. Existem cerca de 80 módulos no total que incluem carregadores, orquestradores, comunicadores de comando e controle, gravadores de áudio, keyloggers, grabbers de webcam e ecrã, documentos e ferramentas para roubar chaves de criptografia.

O "TajMahal" também é capaz de roubar cookies do navegador, coletar a lista de backup de dispositivos móveis da Apple, roubar dados de um CD gravado pela vítima, bem como documentos que estão na fila de uma impressora. Pode também solicitar o roubo de um arquivo em específico, visto anteriormente em pen drives, e ele passa a ser roubado na próxima vez que for conectada à entrada USB do computador.

Os sistemas-alvo identificados pela Kaspersky Lab foram infectados por ambos os pacotes "Tokyo" e "Yokohama". Isto sugere que o "Tokyo" foi utilizado no primeiro nível da infeção, inserindo o pacote "Yokohama" nas vítimas de interesse e deixando-o lá para fins de backup.

Até agora, apenas uma vítima foi identificada: uma entidade diplomática na Ásia Central com base estrangeira e que foi infectada em 2014. Os vetores de distribuição e infecção do "TajMahal" continuam desconhecidos.

RSS
Facebook
Twitter
LinkedIn

Tags: ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)

Top
Social media & sharing icons powered by UltimatelySocial