Investigadores de segurança da Kaspersky descobriram um novo e altamente sofisticado APT chamado TajMahal, que inclui vários módulos maliciosos capazes de realizar vários ataques.
The operation has gone undetected for the last five years, the timestamp of the first sample is from August 2013 and the last one is April 2018. It contains 80 malicious modules in its encrypted Virtual File System.
A operação passou despercebida nos últimos cinco anos, o timestamp da primeira amostra é de agosto de 2013 e a última é abril de 2018. Ela contém 80 módulos maliciosos num encrypted Virtual File System.
Com base na telemetria da Kaspersky, apenas uma única vítima identificada até o momento foi infectada pelo APT.
“Just to highlight its capabilities, TajMahal is able to steal data from a CD burnt by a victim as well as from the printer queue. It can also request to steal a particular file from a previously seen USB stick; next time the USB is connected to the computer, the file will be stolen.”
O APT contém dois pacotes, Tokyo e Yokohama, um atua no primeiro estágio da infecção e o próximo entrega o malware.
The package ” includes backdoors, loaders, orchestrators, C2 communicators, audio recorders, keyloggers, screen and webcam grabbers, documents and cryptography key stealers, and even its own file indexer for the victim’s machine,” reads SecureList blog post.
O payload do segundo estágio ,O Yokohama, acumula módulos maliciosos em num sistema de ficheiros virtual que permite que o malware execute as seguintes funções:
- Stealing browser cookies
- Intercepting documents from the print queue
- Recording and taking screenshots of VoIP calls,
- Stealing optical disc images made by the victim,
- Collecting data about the victim
- Indexing files, including those on external drives, and potentially stealing specific files when the drive is detected again.
A complexidade do TajMahal torna-o uma descoberta muito preocupante, e o número de vítimas identificadas até agora deve aumentar, disse a Kaspersky.