Los analistas de Kaspersky Lab han descubierto un framework de ciberespionaje técnicamente sofisticada y activa desde al menos 2013. No parece tener conexión alguna con cualquier otro actor de ciberamenazas conocido.

Esta estructura, a la que los investigadores han bautizado como TajMahal, cuenta con aproximadamente 80 elementos maliciosos e incluye unas nuevas funcionalidades nunca vistas anteriormente en una ciberamenaza, como la capacidad de robar información de las mismas colas de impresión y la de poder capturar archivos visualizados desde un dispositivo USB en una reconexión.

La estructura se ha desarrollado y se ha utilizado durante al menos los últimos cinco años, datándose la primera referencia de abril de 2013, y la más reciente de agosto de 2018.

Hasta el momento, Kaspersky Lab solo ha identificado una víctima, una sede diplomática ubicada en un país de Asia central, que estaba infectada desde 2014, pero es bastante probable que haya más afectados. «Parece algo muy improbable que se haya podido realizar una gran inversión solo para infectar a una víctima. Que haya más víctimas parece algo lógico, pero todavía no las hemos encontrado», reconoce Alexey Shulmin, analista jefe de malware en Kaspersky Lab.

TajMahal es capaz de hacerse con las cookies del navegador, obtener la lista de copias de seguridad para dispositivos móviles de Apple, robar datos de un CD grabado por la víctima, así como los documentos que se encuentren en una cola de impresión. También puede robar un archivo concreto de una memoria USB. El robo se produciría en la siguiente conexión del USB al ordenador.

“La estructura TajMahal es un descubrimiento muy interesante y preocupante. Su sofisticación técnica va más allá de cualquier duda, y cuenta con unas funcionalidades que hasta ahora no habíamos visto en ningún otro actor de amenazas avanzadas», subraya Alexey Shulmin.

«La manera de distribución e infección sigue siendo desconocida. Es preocupante que, durante cinco años no hayamos sabido nada, bien quizás por inactividad bien por otro motivo que desconocemos. Tampoco tenemos ninguna pista sobre su posible autoría ni hemos encontrado relación con grupos de amenazas conocidos”, admite el analista jefe de malware en Kaspersky Lab.

Consejos

Con el fin de evitar caer víctima de un ataque dirigido lanzado por un actor de ciberamenazas, los analistas de Kaspersky Lab recomiendan implementar las siguientes medidas:

1.-utilizar herramientas avanzadas de seguridad

2.-asegurarse que todo el equipo de seguridad tiene acceso a la información sobre ciberamenazas más reciente.

3.-actualizar regularmente todo el software de la organización, sobre todo cuando hay un nuevo parche disponible. Los productos de seguridad que cuentan con funciones de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar estos procesos.

4.-Seleccionar una solución de seguridad probada,, que para una mejor protección frente amenazas conocidas y desconocidas, incluidos exploits, disponga de funciones de detección basadas en comportamiento.

y 5.-Asegurarse que los empleados de la organización son conscientes de las medidas de protección básicas a seguir, sobre todo cuando muchos de los ataques utilizan phishing y otras técnicas de ingeniería social.