O que é o spyware Tajmahal?

Pesquisadores descobriram recentemente um software adaptável e modular chamado Tajmahal, que consiste em uma variedade de recursos projetados para realizar várias tarefas de espionagem cibernética. A versatilidade e complexidade dessa estrutura de spyware assustaram especialistas e pesquisadores de segurança. Descubra mais do que o Tajmahal é capaz no artigo a seguir.


O que é o Tajmahal Spyware?

O que é o spyware Tajmahal?

O que é o spyware Tajmahal?

Os pesquisadores de segurança da Kaspersky Lab descobriram uma nova tecnologia de alta qualidade e alta spyware estrutura chamada TajMahal. Eles foram capazes de detectar a ameaça usando suas tecnologias heurísticas automáticas. O spyware tem a capacidade de promover todos os tipos de ataques com a implementação de várias ferramentas. É caracterizado por uma base de código altamente sofisticada e nunca vista antes. Até agora, especialistas detectaram 80 módulos maliciosos no spyware. Especialistas dizem que o spyware TajMahal está no modo ativo por mais de cinco anos.

De fato, os especialistas acabaram de descobrir a estrutura no ano passado, quando visou a agência diplomática de um país da Ásia Central. Só porque apenas um emergiu como vítima do ataque não significa que muitos outros não foram afetados. Eles provavelmente não sabem disso, e o restante das vítimas ainda não foi confirmado. Especialistas em segurança acreditam que um invasor de Estado-nação está por trás dessa ameaça persistente avançada (APT). Porém, pesquisadores e especialistas em segurança não apontaram o dedo para nenhum grupo de hackers ou agentes de ameaças conhecidos.

O que o Tajmahal faz?

A razão pela qual essa estrutura conseguiu permanecer no radar por cinco anos é devido à sua base de código. Essa base específica não tem relação com outros malwares ou APTs. É assim que esse spyware funciona e em que consiste esta plataforma APT. A estrutura danifica e infecta os sistemas com o uso de dois pacotes chamados Tóquio e Yokohama. Tóquio não sai do sistema mesmo após o início da segunda fase, a fim de servir como um canal de comunicação adicional.

Yokohama, por outro lado, conta como a carga útil de armas dessa segunda fase. Embora Tóquio contenha apenas três módulos – um dos quais opera como backdoor inicial, Yokohama é um spyware de carga útil multifuncional, composto por dezenas de outros módulos. Um grande número de módulos é usado em Yokohama para fornecer todos os tipos de funcionalidades. Yokohama cria um sistema de arquivos virtual completo com plug-ins, bibliotecas de terceiros e arquivos de configuração. O backdoor inicial de Tóquio usa a estrutura de hackers do PowerShell. Isso permite que os invasores infectem mais sistemas em uma escala mais ampla e se conectem a um servidor de comando e controle. Conectar-se a um é como os invasores obtêm acesso a arquivos e documentos. 

Comentário sobre o Spyware

 Alexey Shulmin, pesquisador de segurança da Kaspersky, disse o seguinte sobre o ataque: “De alguma forma, ele permanece sob o radar há mais de cinco anos. Se isso se deve à inatividade relativa ou a outra coisa é outra questão intrigante. É um lembrete para a comunidade de segurança cibernética de que nunca temos realmente visibilidade total de tudo o que está acontecendo no ciberespaço. ”

Segundo os pesquisadores: “Este é um desenvolvimento altamente complexo. TajMahal é extremamente raro, além de ser muito avançado e sofisticado. O spyware possui um código completamente novo e não parece estar relacionado a outros spywares desenvolvidos no passado “.

Mais informações sobre o Tajmahal

O Tajmahal é capaz de roubar dados da fila da impressora e de um CD que a vítima gravou, de acordo com a Kaspersk. Além disso, ele pode roubar cookies do FireFox, RealNetworks, Internet Explorer e Netscape Navigator. Aqui está o que o spyware pode fazer. O spyware pode filtrar arquivos importantes de dispositivos de armazenamento removíveis. A primeira coisa que faz é identificar arquivos na unidade removível, como um pen drive. Em seguida, ele extrai o arquivo de destino na próxima vez que o USB estiver no sistema. De fato, com Yokohama, os invasores inserem um USB em um computador comprometido, examinam o conteúdo e enviam uma listagem para o servidor de comando e controle. É aqui que os invasores podem escolher os arquivos que desejam extrair e colocar as mãos no sistema infectado.

Infelizmente, essa não é a única maneira que este Spyware pode acessar arquivos. O Tajmahal possui mais alguns módulos que podem comprometer arquivos de outras maneiras diferentes. Além disso, o TajMahal é capaz de capturar capturas de tela da webcam e da área de trabalho, além de emitir comandos. Mesmo que alguém o exclua dos valores de arquivo ou registro de front-end, ele reaparece com um nome diferente logo após a reinicialização.

 Conteúdo do Kit de Ferramentas

Todo o conjunto de ferramentas consiste em backdoors, carregadores, orquestradores, comunicadores C2, gravadores de áudio, keyloggers, captadores de tela, ladrões de chaves e um indexador de arquivos. Aqui está uma lista do que esse APT é capaz:

  • Roubar cookies e imagens de disco óptico criadas pela vítima.
  • Interceptando documentos e arquivos da fila de impressão.
  • Captura de tela e gravação de chamadas VoIP.
  • Coletando dados sobre a vítima (incluindo uma lista de cópias de backup do dispositivo iOS).
  • Indexando arquivos, mesmo aqueles em unidades externas, e roubando certos arquivos quando a unidade é reconhecida novamente.

O que é o Tajmahal Spyware? – Pensamentos finais

O que torna o TajMahal tão intimidador e preocupante é sua complexidade técnica. Você sabe como apenas uma vítima foi confirmada, o pior ainda está por vir. O número de vítimas de Tajmahal vai aumentar. Cuidado com o TajMahal e seus análogos. Você deve tomar todas as medidas de segurança necessárias para evitar o ataque de Tajmahal. Aconselhamos que você seja informado sobre malware, spyware, rootkits, tudo. Você nunca sabe quando pode precisar desse tipo de informação.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map