Segunda-feira, 16 de Setembro de 2019
NotíciasSegurança

TajMahal: plataforma de ciberespionagem é utilizada por hackers para realizar ataques

Descoberta nova utilização de ferramenta de ciberespionagem.

Cyber espionage

Os especialistas da Kaspersky Lab descobriram o “TajMahal” no final de 2018. Esta é uma infraestrutura de APT desenhada para uma vasta acção de ciberespionagem.

A análise de malware mostra que a plataforma foi desenvolvida e utilizada, pelo menos, nos últimos cinco anos, sendo que a data da amostra mais antiga é de Abril de 2013 e a mais recente de Agosto de 2018.

O nome “TajMahal” vem do nome do ficheiro utilizado para extrair a informação roubada. Estima-se que a infraestrutura “TajMahal” inclua dois pacotes principais chamados “Tokyo” e “Yokohama”.

O “Tokyo” é o pacote mais pequeno dos dois, com cerca de três módulos. Contém a funcionalidade principal de backdoor e conecta-se periodicamente com os servidores de comando e controlo. “Tokyo” utiliza o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois.

A segunda fase ou etapa diz respeito ao pacote “Yokohama”: um esquema de ciberespionagem. Este inclui um Sistema Virtual de Ficheiro (VFS) com todos os plugins, bibliotecas de open source, e propriedades de terceiros, bem como ficheiros de configuração.

No total, existem cerca de 80 módulos que incluem desde orquestradores, gestores de conexão de servidores de comando e controlo até complementos para a gravação de áudio, keyloggers, grabbers de webcam e ecrã, roubo de documentos e chaves de criptografia.

O “TajMahal” também é capaz de roubar as cookies do browser, reunir a lista de backup para dispositivos móveis iOS, bem como documentos que estão na fila de uma impressora. Os sistemas-alvo que a Kaspersky Lab identificou foram ambos infectados com os pacotes “Tokyo” e “Yokohama”.

Isto sugere que o “Tokyo” foi utilizado no primeiro nível da infecção, para depois, numa segunda etapa, estender o pacote completo “Yokohama” nas vítimas de interesse, deixando lá o “Tokyo” como cópia de segurança.

Até agora, apenas uma vítima foi identificada: uma entidade diplomática estrangeira num país na Ásia Central, que estava infectada desde 2014. Os vectores de distribuição e infecção do “TajMahal” continuam a ser desconhecidos.

Via: Kaspersky Lab.

PCGuia
Este site utiliza cookies. Ao continuar a utilizá-lo estará a aceitar a nossa política de privacidade e os nossos Termos de utilização. Mais informação acerca da forma como utilizamos cookies está disponível aqui.
×