La campagna di spionaggio informatico TajMahal utilizza strumenti dannosi mai visti prima

Una forma di malware recentemente scoperta e distribuita come parte di una campagna di spionaggio informatico altamente furtiva è dotata di diverse nuove funzionalità dannose. Sembra essere il lavoro di un'operazione completamente nuova, senza collegamenti noti con alcun noto attore di minacce o gruppi di hacker.

Soprannominato TajMahal, dal nome del file utilizzato per esfiltrare i dati rubati, il file malware ha una serie di funzionalità mai viste prima in a porta sul retro.

Questi includono il furto dei documenti inviati alla coda della stampante, la possibilità di rubare file precedentemente visualizzati su unità rimovibili non appena sono disponibili ancora una volta, la possibilità di rubare i dati masterizzati su un CD dalla vittima, nonché la possibilità di acquisire schermate durante la registrazione dell'audio da VoiceIP applicazioni.

Oltre alle sue capacità uniche, TajMahal fornisce agli aggressori quello che viene descritto come un "framework di spionaggio completo", con una backdoor nei sistemi infetti.

Può impartire comandi, acquisire screenshot del desktop e della webcam e utilizzare il keylogging per rubare nomi utente, password e altre informazioni. Può anche aprire ed esfiltrare documenti con l'aiuto del proprio indicizzatore di file per la macchina della vittima.

VEDERE: Una strategia vincente per la cybersecurity (Rapporto speciale ZDNet) | Scarica il rapporto in formato PDF (Repubblica Tecnologica) 

Inoltre, può rubare chiavi di crittografia, acquisire cookie del browser, raccogliere elenchi di backup per i dispositivi mobili Apple e altro ancora, con circa 80 moduli dannosi ciascuno progettato per attività di spionaggio.

Il malware è stato scoperto dai ricercatori di Kaspersky Lab, che hanno dettagliato le loro scoperte al Security Analyst Summit 2019 dell'azienda a Singapore.

Descritto come "un framework APT tecnicamente sofisticato progettato per un ampio spionaggio informatico", TajMahal era scoperto per la prima volta alla fine del 2018, ma è attivo da oltre cinque anni, con il primo campione datato ad aprile 2013.

TajMahal è riuscito a nascondersi sotto il radar per così tanto tempo perché ha un codice base completamente nuovo, senza somiglianze con quelli conosciuti APT o malware e impiegando un meccanismo di aggiornamento automatico utilizzato regolarmente per distribuire nuovi campioni per evitare il rilevamento.

Tuttavia, i ricercatori sono stati avvisati del malware dopo che il software di sicurezza Kaspersky ha contrassegnato un file come sospetto.

"Il file si è rivelato essere un plugin dannoso con un livello di sofisticazione tale da suggerire un APT e la mancanza di codice la somiglianza con qualsiasi attacco noto suggerisce che si trattasse di un APT precedentemente sconosciuto," Alexey Shulmin, analista capo del malware presso Kaspersky Lab ha detto a ZDNet.

"Sfruttando la nostra conoscenza di questo file, siamo stati in grado di identificarne altri. Ciò ci ha portato alla conclusione che il malware faceva parte di una piattaforma di spionaggio informatico precedentemente sconosciuta ed estremamente rara", ha aggiunto.

Tokyo e Yokohama

I ricercatori ritengono che il quadro si basi su due pacchetti, denominati Tokyo e Yokohama. Tokyo è la più piccola delle due e contiene solo tre moduli, uno dei quali è la backdoor principale e una connessione a un server di comando e controllo.

Yokohama, nel frattempo, contiene tutte le altre funzionalità del TajMahal, indicando che Tokyo sarà probabilmente il primo contagocce che poi fornirà il malware completo come download di seconda fase, con il dropper installato nel caso in cui sia necessario per scopi di backup in un secondo momento linea.

Il metodo di distribuzione del TajMahal è ancora sconosciuto e l'infezione è stata osservata in natura solo una volta, nel sistema di quella che viene descritta come "un'entità diplomatica di un paese dell'Asia centrale", dove l'infezione si è verificata 2014.

I ricercatori notano che questa vittima è stata precedentemente presa di mira senza successo da Zebroacy (malware trojan associato a un gruppo di hacker russo sostenuto dallo stato), anche se non si ritiene che le due campagne siano correlate.

VEDERE: La sicurezza informatica nel mondo IoT e mobile (Rapporto speciale ZDNet) | Scarica il rapporto in formato PDF (Repubblica Tecnologica)

Tuttavia, a causa della sofisticatezza del malware e delle sue capacità uniche, è improbabile che l'obiettivo diplomatico sia l'unica vittima compromessa da TajMahal in più di cinque anni.

"La struttura del TajMahal è una scoperta molto interessante e intrigante. La sofisticatezza tecnica è fuori dubbio e sembra improbabile che un investimento così ingente possa essere intrapreso per una sola vittima. Un'ipotesi probabile sarebbe che ci siano altre vittime che non abbiamo ancora trovato", ha detto Shulmin.

Per contribuire a proteggersi dagli attacchi da parte di attori di minacce nuovi e sconosciuti, i ricercatori raccomandano che tutto il software venga utilizzato all'interno di un'organizzazione è aggiornato E quelle patch di sicurezza progettato per correggere le vulnerabilità note dovrebbe essere installato come priorità.

Tutti i prodotti Kaspersky Lab sono stati aggiornati per proteggere da TajMahal e i ricercatori lo hanno fatto ha fornito un'analisi completa della campagna sul blog di Kaspersky.

LEGGI DI PIÙ SUL CRIMINE INFORMATICO

• Questo malware trasforma il dirottamento del bancomat in un gioco di slot machine
• Il futuro della guerra informatica: ransomware armati, attacchi IoT e una nuova corsa agli armamenti TechRepublic
• Questo attacco trojan aggiunge una backdoor al tuo PC Windows per rubare dati
• Kaspersky Lab ti avviserà se il tuo telefono è infetto da stalkerware CNET
• Malware trojan: la minaccia informatica nascosta per il tuo PC