Detectada a finales de 2018, esta amenaza persistente avanzada cuenta con funcionalidades nunca antes vistas y parece no estar asociada con actores de amenaza conocidos
<\/p>\n\n\n\n
Singapur \u2013 Analistas de Kaspersky Lab han descubierto una infraestructura t\u00e9cnicamente sofisticada de ciberespionaje que ha estado activa desde al menos 2013 y que no aparenta tener conexi\u00f3n alguna con otro actor de amenazas conocido. La infraestructura, denominada TajMahal por los analistas, cuenta con cerca de 80 elementos maliciosos e incluye funcionalidades nunca antes vistas en amenazas persistentes avanzadas (APT, por sus siglas en ingl\u00e9s), como \u00a0la habilidad de robar informaci\u00f3n de la cola de trabajos de impresoras y de dispositivos USB. Hasta ahora, Kaspersky Lab ha identificado a una embajada situada en Asia Central como la \u00fanica v\u00edctima, pero es muy probable que otras entidades hayan sido afectadas.<\/strong> Los especialistas da Kaspersky Lab descubrieron a TajMahal a finales de 2018. Esta es una infraestructura de APT t\u00e9cnicamente sofisticada, dise\u00f1ada para una extensa operaci\u00f3n de ciberespionage. El an\u00e1lisis de malware muestra que la plataforma ha sido desarrollada y utilizada durante, al menos, los \u00faltimos cinco a\u00f1os, con la muestra m\u00e1s antigua con fecha de 2013 y la m\u00e1s reciente de agosto de 2018. El nombre TajMahal proviene del alias del archivo utilizado para extraer los datos robados. Se estima que el marco de trabajo de TajMahal incluye dos paquetes principales, autodenominados \u201cTokyo\u201d y \u201cYokohama\u201d. <\/p>\n\n\n\n Tokyo es el m\u00e1s peque\u00f1o de los dos, con alrededor de tres m\u00f3dulos. Contiene la funcionalidad de puerta trasera y se conecta peri\u00f3dicamente con los servidores de comando y control. Tokyo utiliza PowerShell y permanece en la red incluso despu\u00e9s de que la intrusi\u00f3n haya pasado por la segunda etapa. <\/p>\n\n\n\n La segunda etapa pertenece al paquete de Yokohama: una infraestructura de espionaje completa. Yokohama incluye un sistema virtual de archivos (VFS, por sus siglas en ingl\u00e9s) con todos los plugins, <\/em>bibliotecas de c\u00f3digo abierto y propietario de terceros, y archivos de configuraci\u00f3n. En total cuenta con cerca de 80 m\u00f3dulos que incluyen cargadores, orquestadores, gestores de conexi\u00f3n a servidores de comando y control, as\u00ed como complementos para grabaci\u00f3n de audio, captura de pulsaciones del teclado, grabaci\u00f3n de pantalla y c\u00e1mara web, al igual que herramientas para el robo de documentos y claves criptogr\u00e1ficas. <\/p>\n\n\n\n TajMahal tambi\u00e9n es capaz de robar las cookies<\/em> del navegador, recopilar la lista de copias de seguridad para <\/em>dispositivos m\u00f3viles de Apple, robar datos de un CD grabado por la v\u00edctima, y los documentos que est\u00e1n en cola en una impresora. Adem\u00e1s, puede solicitar el robo de un archivo en particular, visto anteriormente, de una memoria USB, el cu\u00e1l ser\u00e1 extra\u00eddo la pr\u00f3xima vez que el USB se conecte al computador. <\/p>\n\n\n\n Los sistemas atacados encontrados por Kaspersky Lab fueron infectados por ambos, Tokyo y Yokohama. Esto sugiere que Tokyo fue la primera etapa de infecci\u00f3n, implementando el paquete multifuncional de Yokohama en los objetivos de inter\u00e9s, dejando a Tokyo residente como copia de seguridad. <\/p>\n\n\n\n Hasta ahora, solo se ha detectado a una v\u00edctima- una entidad diplom\u00e1tica extranjera con base en un pa\u00eds de Asia Central, infectada en 2014. Hasta ahora, los vectores de distribuci\u00f3n e infecci\u00f3n de TajMahal permanecen desconocidos. <\/p>\n\n\n\n \u201cLa estructura TajMahal es un descubrimiento muy interesante y preocupante. Su sofisticaci\u00f3n t\u00e9cnica va m\u00e1s all\u00e1 de cualquier duda, y cuenta con unas funcionalidades que hasta ahora no hab\u00edamos visto en ning\u00fan otro actor de amenazas avanzadas. Pero todav\u00eda existen varios interrogantes. Por ejemplo, parece algo muy improbable que se haya podido realizar una gran inversi\u00f3n solo para infectar a una v\u00edctima. Que haya m\u00e1s v\u00edctimas parece algo l\u00f3gico, pero todav\u00eda no las hemos encontrado. Quiz\u00e1s tambi\u00e9n haya otras versiones adicionales de este malware sin identificar. Y por qu\u00e9 no, ambas posibilidades pueden darse simult\u00e1neamente. La manera de distribuci\u00f3n e infecci\u00f3n sigue siendo desconocida. Es preocupante que, durante cinco a\u00f1os no hayamos sabido nada, bien quiz\u00e1s por inactividad bien por otro motivo que desconocemos. Tampoco tenemos ninguna pista sobre su posible autor\u00eda ni hemos encontrado relaci\u00f3n con grupos de amenazas conocidos\u201d, <\/em>dijo Alexey Shulmin, analista jefe de malware en Kaspersky Lab.<\/strong><\/p>\n\n\n\n Todos los productos de Kaspersky Lab detectan y bloquean esta amenaza. <\/p>\n\n\n\n Para evitar convertirse en v\u00edctima de alg\u00fan APT creado por actores de amenaza conocidos o desconocidos, los especialistas de Kaspersky Lab recomiendan implementar las siguientes medidas: <\/p>\n\n\n\n \u00b7 Utilice herramientas de seguridad avanzadas como la plataforma Kaspersky Anti Targeted Attack<\/a> y aseg\u00farese de que su equipo de seguridad tenga acceso a los reportes de inteligencia de ciberamenazas m\u00e1s recientes. <\/p>\n\n\n\n \u00b7 Actualice regularmente todos los programas utilizados en su organizaci\u00f3n, particularmente cuando se emita un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluaci\u00f3n de vulnerabilidades y gesti\u00f3n de parches pueden ayudar a automatizar este proceso.<\/p>\n\n\n\n \u00b7 Elija una soluci\u00f3n de seguridad probada como Kaspersky Endpoint Security<\/a>, que est\u00e9 equipada con capacidades de detecci\u00f3n basadas en el comportamiento para una protecci\u00f3n efectiva contra amenazas conocidas y desconocidas, incluidas las vulnerabilidades. <\/p>\n\n\n\n \u00b7 Garantice que su equipo entienda las reglas b\u00e1sicas de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otra t\u00e9cnica de ingenier\u00eda social. <\/p>\n\n\n\n
<\/p>\n\n\n\n