Qu’est-ce que le logiciel espion Tajmahal?

Les chercheurs ont récemment découvert un logiciel adaptable et modulaire appelé Tajmahal qui se compose d’une variété de fonctionnalités conçues pour effectuer diverses tâches de cyberespionnage. La polyvalence et la complexité de ce cadre de spyware ont alarmé des experts et des chercheurs de sécurité. Découvrez ce dont le Tajmahal est capable dans l’article suivant.


Qu'est-ce que le logiciel espion Tajmahal?

Qu’est-ce que le logiciel espion Tajmahal?

Qu’est-ce que le logiciel espion Tajmahal?

Les chercheurs en sécurité de Kaspersky Lab ont découvert une nouvelle technologie de haute qualité Spyware cadre appelé TajMahal. Ils ont pu détecter la menace en utilisant leurs technologies heuristiques automatiques. Le logiciel espion a la capacité de favoriser toutes sortes d’attaques avec la mise en œuvre de divers outils. Il se caractérise par une base de code très sophistiquée et jamais vue auparavant. Jusqu’à présent, les experts ont détecté 80 modules malveillants dans les logiciels espions. Les experts disent que les logiciels espions TajMahal sont en mode actif depuis plus de cinq ans.

En fait, les experts viennent tout juste de découvrir le cadre l’an dernier lorsqu’il visait l’agence diplomatique d’un pays d’Asie centrale. Ce n’est pas parce qu’un seul a émergé comme victime de l’attaque que de nombreux autres n’ont pas été affectés. Ils ne le savent probablement pas et les autres victimes doivent encore être confirmées. Les experts en sécurité estiment qu’un attaquant d’un État-nation est à l’origine de cette menace persistante avancée (APT). Mais jusqu’à présent, les chercheurs et les experts en sécurité n’ont pointé du doigt aucun groupe de piratage ou acteur de menace connu..

Que fait Tajmahal?

La raison pour laquelle ce cadre a réussi à rester sous le radar pendant cinq ans est due à sa base de code. Cette base particulière n’a aucun lien avec d’autres logiciels malveillants ou APT. Voici comment fonctionne ce logiciel espion et en quoi consiste cette plateforme APT. Le framework endommage et infecte les systèmes avec l’utilisation de deux packages appelés Tokyo et Yokohama. Tokyo ne quitte pas le système même après le début de la deuxième phase afin de servir de canal de communication supplémentaire.

Yokohama, d’autre part, compte comme la charge utile de l’arme de cette deuxième phase. Alors que Tokyo ne contient que trois modules, dont l’un fonctionne comme porte dérobée initiale, Yokohama est un logiciel espion de charge utile multifonctionnel, qui se compose de dizaines d’autres modules. Un grand nombre de modules est utilisé à Yokohama pour fournir toutes sortes de fonctionnalités. Yokohama crée un système de fichiers virtuel complet avec des plugins, des bibliothèques tierces et des fichiers de configuration. La porte dérobée initiale de Tokyo utilise le cadre de piratage PowerShell. Cela permet aux attaquants d’infecter plus de systèmes à plus grande échelle et de se connecter à un serveur de commande et de contrôle. La connexion à l’un d’eux permet aux attaquants d’accéder aux fichiers et documents. 

Commentaire sur les logiciels espions

 Alexey Shulmin, chercheur en sécurité chez Kaspersky, a dit ceci à propos de l’attaque: «D’une manière ou d’une autre, elle est restée sous le radar pendant plus de cinq ans. Que cela soit dû à une relative inactivité ou à autre chose est une autre question intrigante. C’est un rappel à la communauté de la cybersécurité que nous n’avons jamais vraiment une pleine visibilité de tout ce qui se passe dans le cyberespace. »

Selon les chercheurs: «Il s’agit d’un développement très complexe. Le TajMahal est extrêmement rare, en plus d’être très avancé et sophistiqué. Les logiciels espions ont un code complètement nouveau et il ne semble pas être lié à d’autres logiciels espions développés dans le passé “.

Plus d’informations sur le Tajmahal

Selon Kaspersk, Tajmahal est capable de voler des données de la file d’attente de l’imprimante et d’un CD qu’une victime a gravé. En outre, il peut voler des cookies de FireFox, RealNetworks, Internet Explorer et Netscape Navigator. Voici ce que peuvent faire les logiciels espions. Le logiciel espion peut exfiltrer des fichiers importants à partir de périphériques de stockage amovibles. La première chose qu’il fait est d’identifier les fichiers sur le lecteur amovible, comme une clé USB. Ensuite, il extrait le fichier ciblé la prochaine fois que l’USB est dans le système. En fait, avec Yokohama, les attaquants insèrent une clé USB dans un ordinateur compromis, analysent le contenu de celui-ci, puis envoient une liste à son serveur de commande et de contrôle. C’est ici que les attaquants peuvent choisir les fichiers qu’ils souhaitent extraire et mettre la main sur le système infecté.

Malheureusement, ce n’est pas la seule façon dont ce logiciel espion peut accéder aux fichiers. Tajmahal a quelques modules supplémentaires qui peuvent compromettre les fichiers de différentes manières. De plus, TajMahal est capable de capturer des captures d’écran de la webcam et du bureau ainsi que d’émettre des commandes. Même si quelqu’un le supprime du fichier frontal ou des valeurs de registre, il réapparaît avec un nom différent juste après le redémarrage.

 Contenu de la boîte à outils

L’ensemble de la boîte à outils comprend des portes dérobées, des chargeurs, des orchestrateurs, des communicateurs C2, des enregistreurs audio, des enregistreurs de frappe, des saisisseurs d’écran, des voleurs de clés et un indexeur de fichiers. Voici une liste de ce que cet APT est capable de faire:

  • Vol de cookies et d’images de disques optiques créés par la victime.
  • Interception de documents et de fichiers de la file d’attente d’impression.
  • Prendre des captures d’écran et enregistrer les appels VoIP.
  • Collecte de données sur la victime (y compris une liste de copies de sauvegarde de leur appareil iOS).
  • Indexation des fichiers même ceux sur des disques externes et vol de certains fichiers lorsque le disque est à nouveau reconnu.

Qu’est-ce que le logiciel espion Tajmahal? – Dernières pensées

Ce qui rend le TajMahal si intimidant et inquiétant, c’est sa complexité technique. Vous savez comment une seule victime a été confirmée, le pire reste à venir. Le nombre de victimes du Tajmahal va augmenter. Méfiez-vous du TajMahal et de ses analogues. Vous devez prendre toutes les mesures de sécurité nécessaires pour éviter l’attaque de Tajmahal. Nous vous conseillons de vous renseigner sur les logiciels malveillants, les logiciels espions, rootkits, tout. Vous ne savez jamais quand vous pourriez avoir besoin de ce genre d’informations.