Ce este Spyware Tajmahal?

Cercetătorii au descoperit recent un software adaptabil și modular numit Tajmahal, care constă dintr-o varietate de caracteristici concepute pentru a îndeplini diverse activități de spionaj cibernetic. Versatilitatea și complexitatea acestui cadru de spionaj au alarmat experții și cercetătorii în domeniul securității. Aflați mai multe despre ce este capabil Tajmahal în articolul următor.


Ce este Tajmahal Spyware?

Ce este Tajmahal Spyware?

Ce este Tajmahal Spyware?

Cercetătorii de securitate ai Kaspersky Lab au descoperit o tehnologie nouă, de înaltă calitate, de înaltă calitate spyware cadru numit TajMahal. Ei au putut detecta amenințarea folosind tehnologiile lor heuristice automate. Spionajul are capacitatea de a încuraja tot felul de atacuri prin implementarea diverselor instrumente. Se caracterizează printr-o bază de cod extrem de sofisticată și niciodată văzută. Experții au detectat până acum 80 de module rău intenționate în programele spyware. Experții spun că spyware-ul TajMahal a fost în modul activ complet de mai bine de cinci ani.

De fapt, experții abia au descoperit cadrul anul trecut, când a vizat agenția diplomatică a unei țări din Asia Centrală. Doar pentru că doar una a apărut ca victimă a atacului, nu înseamnă că mulți alții au rămas neafectați. Probabil că nu conștientizează acest lucru, iar restul victimelor nu au fost confirmate. Experții de securitate consideră că un atacator de stat național se află în spatele acestei amenințări avansate persistente (APT). Dar, cercetătorii și experții în securitate nu au arătat până acum niciun grup de hackeri sau actori amenințători cunoscuți.

Ce face Tajmahal?

Motivul pentru care acest cadru a reușit să rămână sub radar timp de cinci ani se datorează bazei sale de cod. Această bază particulară nu are nicio legătură cu alte malware sau APT-uri. Așa funcționează acest spyware și în ce constă această platformă APT. Cadrul dăunează și infectează sistemele cu utilizarea a două pachete numite Tokyo și Yokohama. Tokyo nu părăsește sistemul nici după începerea celei de-a doua faze pentru a servi drept canal suplimentar de comunicare.

Yokohama, pe de altă parte, contează ca sarcina utilă a armei din acea a doua fază. În timp ce Tokyo conține doar trei module, dintre care unul funcționează ca backdoor inițial, Yokohama este un program spyware multifuncțional, care este format din zeci de alte module. Un număr mare de module este utilizat în Yokohama pentru a oferi tot felul de funcționalități. Yokohama creează un sistem virtual complet de fișiere cu plugin-uri, biblioteci de la terți și fișiere de configurare. Backdoor inițială din Tokyo utilizează cadrul de hacking PowerShell. Aceasta permite atacatorilor să infecteze mai multe sisteme la o scară mai largă, precum și să se conecteze la un server de comandă și control. Conectarea la unul este modul în care atacatorii au acces la fișiere și documente. 

Comentariu despre Spyware

 Alexey Shulmin, un cercetător de securitate Kaspersky a spus asta despre atac: „Cumva, a rămas sub radar timp de mai bine de cinci ani. Dacă aceasta se datorează relativității inactivității sau a altceva este o altă întrebare interesantă. Este un memento către comunitatea cibersecurității că nu avem niciodată o vizibilitate deplină a tot ceea ce se întâmplă în cyberspace. “

Potrivit cercetătorilor: „Aceasta este o dezvoltare extrem de complexă. TajMahal este extrem de rar, pe lângă faptul că este foarte avansat și sofisticat. Spyware are un cod complet nou și nu pare să fie legat de alte programe spion dezvoltate în trecut ”.

Mai multe informații despre Tajmahal

Tajmahal este capabil să fure date de la coada imprimantei și de pe un CD pe care o victimă a ars, potrivit Kaspersk. De asemenea, poate fura cookie-uri de la FireFox, RealNetworks, Internet Explorer și Netscape Navigator. Iată ce poate face spyware-ul. Spyware-ul poate exfiltra fișiere importante din dispozitivele de stocare amovibile. Primul lucru pe care îl face este să identifice fișierele de pe unitatea detașabilă, precum un stick USB. Apoi, extrage fișierul vizat data viitoare când USB este în sistem. De fapt, cu Yokohama, atacatorii introduc un USB într-un computer compromis, scanează conținutul de pe acesta și apoi trimit o listă către serverul său de comandă și control. Aici atacatorii pot alege fișierele pe care doresc să le extragă și să pună mâna pe ele din sistemul infectat.

Din păcate, nu este singurul mod în care acest Spyware poate avea acces la fișiere. Tajmahal are alte module care pot compromite fișierele în alte moduri diferite. Mai mult, TajMahal este capabil să capteze capturi de ecran ale camerei web și desktop, precum și să emită comenzi. Chiar dacă unele persoane îl șterg din fișierul frontend sau din valorile registrului, acesta reapare cu un nume diferit imediat după repornire.

 Conținutul setului de instrumente

Întregul set de instrumente constă din spate, încărcătoare, orchestratori, comunicatori C2, înregistratoare audio, keyloggers, apucatoare de ecran, furturi de chei și un indexator de fișiere. Iată o listă cu care este posibil acest APT:

  • Furarea cookie-urilor și a imaginilor cu discuri optice create de victimă.
  • Interceptarea documentelor și fișierelor din coada de imprimare.
  • Realizarea capturilor de ecran și înregistrarea apelurilor VoIP.
  • Adunarea datelor despre victimă (inclusiv o listă de copii de rezervă ale dispozitivului lor iOS).
  • Indexarea fișierelor chiar și pe unitățile externe și furtul anumitor fișiere atunci când unitatea este recunoscută din nou.

Ce este Tajmahal Spyware? – Gânduri finale

Ceea ce face ca TajMahal să fie atât de intimidant și îngrijorător este complexitatea sa tehnică. Știți cum a fost confirmată o singură victimă, cel mai rău urmează să vină. Numărul victimelor Tajmahal va crește. Feriți-vă de TajMahal și analogii săi. Ar trebui să luați toate măsurile de securitate necesare pentru a evita atacul Tajmahal. Vă sfătuim să vă educați cu privire la malware, spyware, rootkit-uri, Tot. Nu știi niciodată când ai putea avea nevoie de acest tip de informații.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map