Шпионский фреймворк TajMahal вырывает документы у дипломатов прямо из рук

Опубликовано at 17:05
42 0

Специалисты «Лаборатории Касперского» рассказали об интересном шпионском фреймфорке TajMahal, заточенном специально для атаки на дипломатическую организацию, принадлежащую одной из стран Центральной Азии.

Исследование шпиона эксперты начали еще осенью 2018 года. Фреймворк состоит из двух пакетов – Tokyo и Yokohama, включающих в себя более 80 вредоносных модулей. По словам исследователей, такое количество плагинов является почти рекордным для APT-инструментария. Среди модулей есть бэкдоры, загрузчики, инструменты для оркестровки, средства для подключения к C&C-серверам, инструменты для аудиозаписи, кейлоггеры, инструменты для записи экрана и видео с web-камер, плагины для похищения документов и ключей шифрования и даже эксклюзивное решение для индексации файлов на инфицированном компьютере.

В итоге TajMahal способен на невероятный функционал:

воровать cookie-файлы из Internet Explorer, Netscape Navigator, FireFox и RealNetworks;
перехватывать документы из очереди на печать;
собирать данные о жертве (в том числе список резервных копий ее iOS-устройства);
записывать VoIP-звонков и делать снимки экрана;
похищать данные с оптических дисков, записываемых жертвой;
индексировать файлы, в том числе на внешних носителях, и похищать определенные файлы при повторном обнаружении носителя (если нужный файл был намечен на USB-накопителе, при следующем его подключении, файл может быть украден).

По информации исследователей, разработка фреймворка ведется с 2013 года, а первые атаки имели место еще в 2014 году. Учитывая сложность и проработанность TajMahal, а также тот факт, что он не попадал на «радары» специалистов целых пять лет, аналитики «Лаборатории Касперского» полагают, что истинное количество жертв шпиона нам пока не известно.

Как именно TajMahal попадает на атакуемую систему, исследователям пока выяснить нтакже е удалось. Однако они смогли установить, что сначала на компьютер загружается пакет Tokyo, загружающий ПО второго этапа Yokohama.

Помимо обычных функций, характерных для шпионского ПО, TajMahal также вооружен рядом уникальных возможностей. К примеру, оператор вредоноса может запрашивать файл, хранящийся на USB-накопителе, который ранее был подключен к компьютеру. Уже при следующем подключении этого USB-накопителя к зараженной системе TajMahal похитит запрошенный файл.

Читайте также на АКБ:

…Эксперты по кибербезопасности из компании Eclypsium наглядно продемонстрировали, что хакеры могут арендовать сервер и внедрить в его прошивку шпионское ПО, которое не будет удалено провайдером (который может быть просто не в курсе или пренебрежет обязанностями по очистке сервера).

Смысл эксперимента Eclypsium в том, что облачные провайдеры, сдающие свои физические серверы в аренду, должны тщательно следить за тем, чтобы между их развертываниями (сменами пользователей) записываемая память была полностью очищена. Если сервер ранее был в пользовании у злоумышленников, то они могут оставлять в флэш-памяти на материнской плате вредоносное ПО, активизирующееся после того, как сервер был сдан в аренду следующему клиенту.

…Spyware, spouseware или stalkerware? Названий много, а суть одна. В последние годы небывалой популярностью, особенно на Западе, стали пользоваться так называемые «легальные шпионские программы» ценой зачастую менее $100, которые на практике используются для слежки за супругами и партнерами (и, как правило, устанавливаются ревнивыми компаньонами без ведома жертвы). Правоохранительными органами было зафиксировано множество случаев домашнего насилия, которое стало следствием шпионажа с использованием spouseware.

Теперь антивирус Касперского в версии для Android будет предупреждать пользователей, если на их смартфонах установлено ПО такого рода. Пользователи Android смогут воспользоваться тремя опциями: удалить потенциально опасное приложение, отправить его в карантин или пропустить алерт для этой программы.

…Cпециалисты по кибербезопасности из компаний Security Without Borders и Motherboard опубликовали совместное расследование, показывающее: в магазине приложений Google Play годами (!) были доступны для скачивания сервисы, шпионящие за владельцами устройств на Android.

Специалисты проследили период активности шпионского ПО под кодовым названием Exodus с 2016 года и вплоть до начала 2019 года. ПО маскировалось под приложения от мобильных операторов или сервисные приложения для улучшения работы устройств. При этом более 20 приложений появлялись в Google Play на протяжении двух лет.

Подписываемся, следим @CyberAgency

Related Post

Новый вирус подписывает владельцев Android на платные SMS-рассылки

Опубликовано - 02.03.2018 0
Британская компания Wandera, специализирующаяся в области кибербезопасности мобильных устройств, обнаружила новый вирус RedDrop, который может быть встроен в некоторые приложения.…