TajMahal vector cibercriminal monumental

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Investigadores de seguridad cibernética revelaron ayer la existencia de un marco de software espía altamente sofisticado denominado TajMahal que ha estado funcionando durante al menos los últimos 5 años, pero que no se detectó hasta hace poco.

 

Apodado por los investigadores TajMahal, el marco APT es un conjunto de herramientas de malware de alta tecnología modular que no solo admite una gran cantidad de complementos maliciosos para distintas operaciones de espionaje, sino que también incluye trucos nunca vistos y desconocidos.

Por cierto, Kaspersky no mencionó por qué llamaron al marco después de Taj Mahal, una de las 7 Maravillas del Mundo ubicadas en la India.

TajMahal toolkit fue descubierto por primera vez por investigadores de seguridad a fines del año pasado, cuando los piratas informáticos lo usaron para espiar las computadoras de una organización diplomática perteneciente a un país de Asia Central cuya nacionalidad y ubicación no han sido reveladas.

Sin embargo, las muestras de malware examinadas por los investigadores sugieren que el grupo de ciberespionaje detrás del ataque ha estado activo al menos desde agosto de 2014.

El marco TajMahal consta de dos paquetes principales: “Tokio” y “Yokohama”, que en conjunto contienen más de 80 módulos maliciosos distintos. que, según los investigadores, es uno de los números más altos de complementos jamás vistos para un conjunto de herramientas APT.

Poderosa APT

“Incluye puertas traseras, cargadores, orquestadores, comunicadores C2, grabadores de audio, registradores de teclas, capturadores de cámaras y cámaras web, ladrones de documentos y criptografía, e incluso su propio indexador de archivos para la máquina de la víctima”, dicen los investigadores.

Los investigadores aún no han descubierto cómo TajMahal infectó a sus objetivos en el primer lugar, pero sí revelan que una vez que se accedió, la primera etapa de la infección de Tokio se descarga en las máquinas específicas, que luego entregan el malware de segunda etapa completamente funcional, Yokohama.

 

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris