La campagna di cyber-spionaggio TajMahal utilizza nuovi strumenti malevoli fin ora inediti.
Il malware è stato scoperto dai ricercatori di Kaspersky Lab, che hanno presentato le loro scoperte al Security Analyst Summit 2019 svoltosi pochi giorni fa a Singapore (8-11 Aprile). Una delle peculiarità principali riscontrate dagli analisti è che il malware non è riconducibile a nessun hacker o team ad oggi conosciuto
Tecnicamente molto sofisticato, il malware consente il furto di documenti inviati alla coda di stampa, il furto di file masterizzati su immagini CD o precedentemente aperti da una unità rimovibile nonché la possibilità di acquisire screenshot, registrare audio quando si utilizzano applicazioni VoIP ed estrarre documenti.
Oltre a fornire strumenti di acquisizione dati, TajMahal consente una ‘full-blown spying framework‘, una vera e propria backdoor istallata nel sistema infettato che consente agli attaccanti la scrittura di comandi e l’utilizzo di keylogging (uno strumento in grado di intercettare e catturare segretamente tutto ciò che viene digitato sulla tastiera senza che l’utente si accorga di essere monitorato) per rubare nomi utente, password e altre informazioni.
Oltremodo il malware fornisce agli attaccanti la possibilità di rubare le chiavi di crittografia, ottenere i cookie del browser, raccogliere l’elenco di backup dei dispositivi mobili Apple e molto altro ancora per un totale di circa 80 malicious modules progettati per attività di spionaggio a 360°.
TajMahal è stato scoperto per la prima volta alla fine del 2018, ma risulterebbe attivo da oltre cinque anni, con il primo campione datato ad aprile 2013. La sua particolare dinamicità di aggiornamento gli permetteva di non essere identificato come i noti APT o malware e consentendone allo stesso modo la sua distribuzione.
ZDNet Alexey Shulmin, analista di malware di Kaspersky Lab, ha dichiarato come il malware fosse decisamente sofisticato. Le somiglianze con gli APT precedentemente noti hanno portato gli analisti ad approfondirne il contenuto scoprendo che” il malware faceva parte di una piattaforma di cyber-spionaggio sconosciuta ed estremamente rara.”
Tokyo e Yokohama
Nell’analisi i ricercatori ritengono che il framework sia basato su due pacchetti, soprannominati Tokyo e Yokohama. Tokyo è il più piccolo dei due, contenente solo tre moduli di cui uno è la backdoor principale e un altro una connessione a un server di comando e controllo.
Yokohama, invece contiene tutti gli altri moduli di TajMahal, dal che se ne deduce che Tokyo è probabilmente il dropper iniziale (una specifica tipologia di Trojan ) che fornisce il malware.
Il destinatario dell’attacco è secondo la telemetria di Kaspersky Lab una singola vittima: un’entità diplomatica di un paese dell’Asia centrale. Il metodo di distribuzione di TajMahal è ancora sconosciuto, tuttavia, i ricercatori hanno osservato che questa tipologia di attacco è stata utilizzata senza successo da Zebroacy (malware trojan associato a un gruppo hacker sostenuto dallo stato russo) e che le due campagne non sono strettamente correlate.
Data la complessità dell’attacco, Shulmin suggerisce che “Il framework TajMahal è una scoperta molto interessante e intrigante, la sofisticazione tecnica è fuori dubbio” (quindi anche il suo costo n.d.r.) ma “sembra improbabile che un simile investimento possa essere stato fatto per una sola vittima: un’ipotesi probabile sarebbe che ci siano altre vittime aggiuntive che non abbiamo ancora identificato“.
Tutti i prodotti Kaspersky Lab sono stati aggiornati per la protezione da TajMahal e i ricercatori hanno pubblicato l’analisi completa della campagna sul proprio blog.
