TajMahal – El avanzado spyware desarrollado por hackers desconocidos

Especialistas del curso de ethical hacking del Instituto Internacional de Seguridad Cibernética (IICS) reportan el hallazgo de una variante de software modular y adaptable con una amplia variedad de complementos diseñados para realizar diversas tareas de espionaje cibernético.

Un grupo de investigadores de una firma de ciberseguridad descubrió este spyware, afirmando que todo el marco de trabajo comprende no sólo las características intrínsecas de un software espía (como registro de golpes en el teclado y capturas de pantalla), sino que además incluye funciones no asociadas a este tipo de desarrollos.

Acorde a los especialistas del curso de ethical hacking, el spyware TajMahal (bautizado así por los investigadores) es capaz de interceptar documentos en espera de ser impresos, dar seguimiento a archivos de interés para el atacante y extracción automática de archivos seleccionados al conectar una unidad de almacenamiento externo. Por si no fuese suficiente, los investigadores afirmaron que este spyware no parece tener relación alguna con ningún grupo conocido de cibercriminales vinculados con algún gobierno.

“Este es un desarrollo altamente complejo. TajMahal es extremadamente raro, además de ser muy avanzado y sofisticado”, mencionan los investigadores. “El spyware tiene un código completamente nuevo, no parece estar relacionado con algún otro software espía desarrollado en el pasado”.

Acorde a los especialistas del curso de ethical hacking, el spyware fue detectado por primera vez a mediados del 2018, en un país de Asia central cuyo nombre no ha sido revelado por motivos de seguridad. Debido a que se trata de un desarrollo altamente sofisticado, los investigadores no descartan que haya atacado en otras ubicaciones. 

Después de las primeras investigaciones los expertos concluyeron que los atacantes comienzan el ataque implantando un programa de backdoor en las computadoras comprometidas. Este programa usará PowerShell para permitir que los atacantes se conecten a un servidor de comando y control, además los hackers plantarán la carga útil más importante de TajMahal, identificada como Yokohama.

Este componente muestra una versatilidad sorprendente, mencionaron los especialistas. Gracias a Yokohama, los atacantes pueden conectar una USB a una computadora infectada, escanear su contenido y enviar un listado a su servidor de comando y control, desde donde los atacantes pueden seleccionar los archivos que desean extraer del sistema comprometido. El spyware también cuenta con algunos módulos para comprometer archivos de otras formas.

(Visited 338,1 times)