Un nuevo tipo de malware, denominado TajMahal, ofrece a sus usuarios una serie de técnicas de espionaje, incluida la capacidad de robar documentos enviados a la cola de una impresora y robar datos de un CD, según informa Kaspersky Lab.
TajMahal es probablemente el producto de un grupo avanzado de amenazas persistentes, pero no es conocido por los investigadores, según un nuevo informe de Kasperky publicado el miércoles. Hasta ahora, solo se ha identificado un objetivo: «una entidad diplomática de un país en Asia Central», según el informe.
«La sofisticación técnica está fuera de toda duda, y parece poco probable que se realice una inversión tan grande para una sola víctima».
—Investigador del Kaspersky Lab
Las primeras muestras conocidas de este malware se remontan a 2013, y el primer y único uso documentado de este se deriva de 2014. Los investigadores de Kaspersky comenzaron a estudiarlo a fines de 2018, según revela el informe.
«El marco de trabajo TajMahal es un hallazgo muy interesante e intrigante», un investigador de Kaspersky que trabajó en el análisis pero pidió no ser nombrado, le dice a Information Security Media Group.
«La sofisticación técnica está fuera de toda duda, y parece poco probable que se realice una inversión tan grande para una sola víctima. Una hipótesis probable sería que hay otras víctimas adicionales que aún no hemos encontrado. También puede haber versiones adicionales de Este malware que aún no ha sido detectado «.
El nombre de TajMahal proviene de uno de los archivos que encontró Kaspesky, según el investigador.
Kaspersky anunció el descubrimiento de TajMahal en la Cumbre de analistas de seguridad de la compañía 2019 en Singapur. En la feria, los investigadores también describieron otra operación de APT llamada Gaza Cybergang dirigida a cientos de víctimas en 39 países, y un nuevo mercado darknet llamado Genesis , que se ocupa de las identificaciones digitales robadas que se venden por $ 5 a $ 200 cada una.
Sofware APT sofisticado
Si bien no se sabe mucho sobre TajMahal o el grupo que creó el malware, el análisis de Kaspersky pinta una imagen de un marco altamente sofisticado capaz de varios tipos de técnicas de espionaje y espionaje. Los investigadores dicen que encontraron alrededor de 80 módulos maliciosos almacenados en su sistema de archivos virtuales encriptados, así como uno de los números más altos de complementos registrados en este tipo de herramientas.
Además de robar documentos de impresoras y datos de CD, el malware también puede solicitar el robo de un archivo en particular desde una memoria USB vista anteriormente. La próxima vez que el dispositivo se conecte a una PC, se tomará el archivo, informa Kaspersky.
Otras características de TajMahal, dice Kaspersky, incluyen puertas traseras, cargadores, orquestadores, comunicación de comando y control, grabadores de audio, registradores de teclas, capturadores de cámaras y cámaras web, ladrones de claves y criptografía. Incluso tiene su propio indexador de archivos para la máquina a la que se dirige.
Tokio y Yokohama
El marco de trabajo TajMahal consta de dos paquetes, llamados Tokio y Yokohama, que funcionan juntos. Ambos comparten la misma base de código, dice Kaspersky.
Cuando los analistas estudiaron el sistema infectado, se encontraron ambos paquetes.Parece que Tokio se implementa primero, lo que luego abre la puerta a Yokohama, que puede apuntar a las víctimas específicas que los atacantes están buscando y pueden quedarse para propósitos de respaldo.
El investigador de Kaspersky le dice a ISMG que la única víctima conocida envió un archivo al laboratorio de la compañía para su análisis. Un examen mostró qué tan sofisticado es el malware y que el grupo detrás de él invierte mucho tiempo y esfuerzo en crearlo.
«El archivo resultó ser un complemento malicioso de un nivel de sofisticación que sugería una APT, y la falta de similitud de código con cualquier ataque conocido sugería que era una APT previamente desconocida», dice el investigador. «Esto provocó una investigación más profunda, lo que llevó a los investigadores a la conclusión de que el malware era parte de una plataforma de ciberespionaje extremadamente desconocida y previamente desconocida».
La única pequeña conexión que el analista pudo encontrar es una muestra de malware llamada Turla , que estaba vinculada a la inteligencia rusa. Dentro de ese archivo malicioso había una referencia a una operación llamada «TadjMakhal».
La única víctima conocida de TajMahal también fue atacada por otro grupo de APT llamado Zebrocy , que también podría haber vinculado a la inteligencia rusa, señala el investigador de Kaspersky.
Otras amenazas
En su conferencia, los investigadores de Kaspersky también publicaron varios otros estudios sobre grupos de amenazas recientemente descubiertos, troyanos y otras amenazas de seguridad.
Cabe destacar el descubrimiento del grupo APT Cybergang de Gaza, dirigido principalmente a hablantes de árabe en diversas partes del Medio Oriente, incluidos los Territorios Palestinos, señala Kaspersky.
Este APT en particular es en realidad una organización paraguas formada por tres subgrupos distintos que ejecutan diferentes operaciones con distintos niveles de sofisticación. La investigación publicada el miércoles se centró en Cybergang Group1 y una operación llamada «SneakyPastes», que utilizaba troyanos de acceso remoto para apuntar a grupos políticos y otros.
La otra investigación interesante, publicada el martes, es lo que Kaspersky llama «Doppelgangers digitales», una actualización de la práctica de cardado y robo de identidad de 20 años. Dentro de estos esquemas, los ciberdelincuentes pueden usar diferentes técnicas y métodos para evadir las medidas antifraude utilizadas por los bancos y otras instituciones financieras. Específicamente, los investigadores encontraron que los cibercriminales tienen la capacidad de robar las huellas digitales en línea de las víctimas.
Las huellas dactilares, junto con otros datos personales y financieros, se venden y comercializan en el mercado clandestino llamado Genesis, informa Kaspersky.
Apéndice I – Indicadores de compromiso
Un conjunto completo de reglas de IOC y Yara está disponible para nuestros clientes, contáctenos: [email protected].
Dominios e IPs
104.200.30.125
50.56.240.153
rahasn.webhop.org
rahasn.akamake.net
rahasn.homewealth.biz
Hash de archivo
22d142f11cf2a30ea4953e1fffb0fa7e
2317d65da4639f4246de200650a70753
27612cb03c89158225ca201721ea1aad
412956675fbc3f8c51f438c1abc100eb
490a140093b5870a47edc29f33542fd2
51a7068640af42c3a7c1b94f1c11ab9d
533340c54bd25256873b3dca34d7f74e
684eca6b62d69ce899a3ec3bb04d0a5b
69a19abf5ba56ee07cdd3425b07cf8bf
6cfd131fef548fcd60fbcdb59317df8e
72dc98449b45a7f1ccdef27d51e31e91
7c733607a0932b1b9a9e27cd6ab55fe0
7d5265e814843b24fcb3787768129040
80c37e062aa4c94697f287352acf2e9d
815f1f8a7bc1e6f94cb5c416e381a110
a43d3b31575846fa4c3992b4143a06da
08e82dc7bae524884b7dc2134942aadb
7bcd736a2394fc49f3e27b3987cce640
57314359df11ffdf476f809671ec0275
b72737b464e50aa3664321e8e001ff32
ce8ce92fb6565181572dce00d69c24f8
5985087678414143d33ffc6e8863b887
84730a6e426fbd3cf6b821c59674c8a0
d5377dc1821c935302c065ad8432c0d2
d8f1356bebda9e77f480a6a60eab36bb
92f8e3f0f1f7cc49fad797a62a169acd
9003cfaac523e94d5479dc6a10575e60
df91b86189adb0a11c47ce2405878fa1
e17bd40f5b5005f4a0c61f9e79a9d8c2
c1e7850da5604e081b9647b58248d7e8
99828721ac1a0e32e4582c3f615d6e57
f559c87b4a14a4be1bd84df6553aaf56
b9c208ea8115232bfd9ec2c62f32d6b8
061089d8cb0ca58e660ce2e433a689b3
0e9afd3a870906ebf34a0b66d8b07435
9c115e9a81d25f9d88e7aaa4313d9a8f
520ee02668a1c7b7c262708e12b1ba6b
7bfba2c69bed6b160261bdbf2b826401
77a745b07d9c453650dd7f683b02b3ed
3a771efb7ba2cd0df247ab570e1408b2
0969b2b399a8d4cd2d751824d0d842b4
fc53f2cd780cd3a01a4299b8445f8511
4e39620afca6f60bb30e031ddc5a4330
bfe3f6a79cad5b9c642bb56f8037c43b
3dfebce4703f30eed713d795b90538b5
9793afcea43110610757bd3b800de517
36db24006e2b492cafb75f2663f241b2
21feb6aa15e02bb0cddbd544605aabad
21feb6aa15e02bb0cddbd544605aabad
649ef1dd4a5411d3afcf108d57ff87af
320b2f1d9551b5d1df4fb19bd9ab253a
3d75c72144d873b3c1c4977fbafe9184
b9cf4301b7b186a75e82a04e87b30fe4
b4e67706103c3b8ee148394ebee3f268
7bfbd72441e1f2ed48fbc0f33be00f24
cdb303f61a47720c7a8c5086e6b2a743
2a6f7ec77ab6bd4297e7b15ae06e2e61
8403a28e0bffa9cc085e7b662d0d5412
3ffd2915d285ad748202469d4a04e1f5
04078ef95a70a04e95bda06cc7bec3fa
235d427f94630575a4ea4bff180ecf5d
8035a8a143765551ca7db4bc5efb5dfd
cacaa3bf3b2801956318251db5e90f3c
1aadf739782afcae6d1c3e4d1f315cbd
c3e255888211d74cc6e3fb66b69bbffb
d9e9f22988d43d73d79db6ee178d70a4
16ab79fb2fd92db0b1f38bedb2f02ed8
8da15a97eaf69ff7ee184fc446f19cf1
ffc7305cb24c1955f9625e525d58aeee
c0e72eb4c9f897410c795c1b360090ef
9ad6fa6fdedb2df8055b3d30bd6f64f1
44619a88a6cff63523163c6a4cf375dd
a571660c9cf1696a2f4689b2007a12c7
81229c1e272218eeda14892fa8425883
0ac48cfa2ff8351365e99c1d26e082ad
Apéndice II – Detalles técnicos adicionales
La siguiente tabla proporciona la lista completa de archivos almacenados en el VFS con una breve descripción que describe lo que hacen los complementos:
| nn | Nombre | Breve descripción |
| 00 01 | cs64.dll cs32.dll | Comunicación C2 y procesamiento de comandos. WatchPoints document stealer. |
| 02 03 | li64.dll li32.dll | LocalInfo. Recopila una gran cantidad de información, titulada «TAJ MAHAL» |
| 04 06 | ad64.dll ad32.dll | Grabadora de audio. Micrófono, aplicaciones de voz IP. |
| 07 08 | le64.dll le32.dll | Codificador de mp3 LAME basado en código abierto («27 de marzo de 2014») utilizado por los complementos de AudioRecorder (adXX.dll). |
| 09 | dd.m | El archivo MP3 es enviado por AudioRecorder (adXX.dll) cuando se borra la memoria caché. |
| 10 11 | me64.dll me32.dll | AudioRecorder para aplicaciones de Windows Metro. Inyecta ma32.dll en “wwahost.exe” o “audacity.exe”. |
| 12 | ma32.dll | AudioRecorder para Windows COM. Enganches IAudioClient, IAudioRenderClient, IMMDevice. |
| 13 14 | ams_api64.dll ams_api32.dll | Handy wrapper alrededor de la API de exXX.dll, pdXX.dll, sgXX.dll. |
| 15 dieciséis | ex64.dll ex32.dll | Orquestador Actualizar / instalar / desinstalar, selecciona los procesos de destino y carga los complementos. |
| 17 18 | fe64.dll fe32.dll | Plantilla del módulo Frontend «Yokohama»; Se utiliza para reinstalar. |
| 19 20 | pd64.dll pd32.dll | Proporciona API para acceder a los ajustes de configuración, archivos de trabajo, cola de egreso. |
| 21 22 | libpng64.dll libpng32.dll | Biblioteca de código abierto «libpng» versión 1.5.8 (1 de febrero de 2012). Utilizado por el complemento Screenshoter (ssXX.dll). |
| 23 24 | rs64.dll rs32.dll | Reinstalador / inyector. |
| 25 26 | ix32.dll ix64.dll | La plantilla de llamada LoadLibrary dll es utilizada por el complemento de instalación / inyector (rsXX.dll) para inyectar la llamada a LoadLibrary en los procesos en ejecución. |
| 05 27 28 | obj32.bin obj32.bin obj64.bin | La plantilla Shellcode es utilizada por Reinstaller / Injector (rsXX.dll) y AudioRecorder4MetroApp (meXX.dll) para inyectar en procesos en ejecución. Ambas versiones de «obj32.bin» son las mismas; Parece que se almacena dos veces por error. |
| 29 30 | sc64.dll sc32.dll | Biblioteca de utilidades. Proporciona API para criptografía, archivos, registro, operaciones de administración de memoria, etc. |
| 31 32 | sg64.dll sg32.dll | Biblioteca para administrar la cola de egreso (archivos y mensajes preparados para enviar a CC). |
| 33 34 | st64.dll st32.dll | SuicideWatcher. Observa la hora de desinstalación, verifica la diferencia de hora (hora local frente a la hora de Internet). |
| 35 36 | zip64.dll zip32.dll | Biblioteca de código abierto «XZip / XUnzip» de Info-Zip + Lucian Wischik + Hans Dietrich. Lo utilizan los complementos de comunicación Indexer (inXX.dll) y C2 (csXX.dll). |
| 37 38 | zlib64.dll zlib32.dll | La versión 1.2.3 de código abierto «zlib» utilizada por libpngXX.dll para comprimir capturas de pantalla (ssXX.dll). |
| 39 | il32.dll | IM-Stealer. Roba el contenido de la conversación de las ventanas de chat de las aplicaciones de mensajería instantánea. |
| 40 55 | in32.dll in64.dll | Indexador Indexa archivos en unidades de víctimas, perfiles de usuario, unidades extraíbles. Los archivos de índice creados se comprimen (por zipXX.dll) y se ponen en la cola de envío. |
| 41 42 43 44 46 47 48 49 50 51 52 53 56 | isys9core_64.dll isyspdf6_64.dll isyspdfl_64.dll isysdc_64.dll isys9.key isys.cwd isys.elx isys9_32.dll isys9core_32.dll isyspdf6_32.dll isyspdfl_32.dll isysdc_32.dll isys9_64.dll | Los componentes del «Software de búsqueda ISYS» patentados son utilizados por el complemento Indexer. Licensee_ID1 “Q5GXU H5W67 23B4W SCQFD 4G7HV 9GSLW” Licensee_ID2 “objectviewer.exe” |
| 45 54 | sqlite3_64.dll sqlite3_32.dll | Biblioteca de código abierto «sqlite». Utilizado por «Búsqueda ISYS». |
| 57 58 | tn32.dll tn64.dll | Thumbnailer. Hace y se prepara para enviar miniaturas de los archivos de imagen encontrados. |
| 59 60 61 62 | freeimage_32.dll freeimageplus_32.dll freeimage_64.dll freeimageplus_64.dll | La biblioteca de código abierto FreeImage admite formatos populares de imágenes gráficas (ver 3.15.4 2012-10-27) (http://freeimage.sourceforge.net). Es utilizado por el complemento Thumbnailer (tnXX.dll). |
| 63 64 | ku64.dll ku32.dll | Keylogger y monitor de portapapeles. |
| sesenta y cinco 66 | pm64.dll pm32.dll | Roba documentos impresos de la cola de cola de impresión. Esto se hace habilitando el atributo «KeepPrintedJobs» para cada impresora configurada almacenada en el Registro de Windows: clave: «SOFTWARE \\ Microsoft \\ Windows NT \\ CurrentVersion \\ Print \\ Printers» Valor: “Atributos” |
| 67 68 | rc64.dll rc32.dll | EgressSender. Envía archivos desde la cola de salida a C2. |
| 69 70 | rn64.dll rn32.dll | “ClientRecon” diario (nombre de computadora, información del sistema operativo, dirección de Mac, claves de red inalámbrica, dispositivos Apple conectados, lista de copias de seguridad de dispositivos móviles de Apple, versión de IE, SecurityCenterInfo (AV, firewalls y productos antispyware), información de hardware, software instalado, aplicaciones Metro incluidas, usuarios, autoruns ). Compruebe y envíe a C2 si algo ha cambiado. |
| 71 72 | ss64.dll ss32.dll | Screenshoter. Capturas de pantalla periódicas de baja resolución. Capturas de pantalla de alta resolución de las ventanas de proceso especificadas y al grabar audio de la aplicación VoiceIP. Consulte » ss_pr» y » ss_wt_nm » cfg vars. |
| 73 74 | vm32.dll vm64.dll | Robar documentos de unidades fijas y extraíbles. Mira CDBurnArea y roba imágenes de CD escritas. |
| 75 76 | wc64.dll wc32.dll | Periódicamente realiza instantáneas de webcamera. |
| 77 | default.cfg | Archivo de ajustes de configuración por defecto. |
| 78 | runin.bin | La lista de nombres de procesos y complementos asociados debe ejecutarse dentro de estos procesos. |
| 79 | morph.dat | El archivo de configuración almacena la ruta de las carpetas de trabajo y las claves de registro. |
[social_warfare]
