Os especialistas da Kaspersky Lab descobriram o “TajMahal” no final de 2018. Esta é uma infraestrutura de APT desenhada para uma vasta acção de ciberespionagem.
A análise de malware mostra que a plataforma foi desenvolvida e utilizada, pelo menos, nos últimos cinco anos, sendo que a data da amostra mais antiga é de Abril de 2013 e a mais recente de Agosto de 2018.
O nome “TajMahal” vem do nome do ficheiro utilizado para extrair a informação roubada. Estima-se que a infraestrutura “TajMahal” inclua dois pacotes principais chamados “Tokyo” e “Yokohama”.
O “Tokyo” é o pacote mais pequeno dos dois, com cerca de três módulos. Contém a funcionalidade principal de backdoor e conecta-se periodicamente com os servidores de comando e controlo. “Tokyo” utiliza o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois.
A segunda fase ou etapa diz respeito ao pacote “Yokohama”: um esquema de ciberespionagem. Este inclui um Sistema Virtual de Ficheiro (VFS) com todos os plugins, bibliotecas de open source, e propriedades de terceiros, bem como ficheiros de configuração.
No total, existem cerca de 80 módulos que incluem desde orquestradores, gestores de conexão de servidores de comando e controlo até complementos para a gravação de áudio, keyloggers, grabbers de webcam e ecrã, roubo de documentos e chaves de criptografia.
O “TajMahal” também é capaz de roubar as cookies do browser, reunir a lista de backup para dispositivos móveis iOS, bem como documentos que estão na fila de uma impressora. Os sistemas-alvo que a Kaspersky Lab identificou foram ambos infectados com os pacotes “Tokyo” e “Yokohama”.
Isto sugere que o “Tokyo” foi utilizado no primeiro nível da infecção, para depois, numa segunda etapa, estender o pacote completo “Yokohama” nas vítimas de interesse, deixando lá o “Tokyo” como cópia de segurança.
Até agora, apenas uma vítima foi identificada: uma entidade diplomática estrangeira num país na Ásia Central, que estava infectada desde 2014. Os vectores de distribuição e infecção do “TajMahal” continuam a ser desconhecidos.
Via: Kaspersky Lab.