«Лаборатория Касперского» обнаружила сложную и продуманную в техническом плане платформу для кибершпионажа. Вредоносный инструмент, получивший название TajMahal, содержит более 80 различных модулей с крайне широкими функциями.
При этом некоторые из них ранее не встречались в инструментарии для кибершпионажа. На данный момент обнаружена лишь одна жертва TajMahal — посольство среднеазиатской страны, но эксперты уверены, что целей злоумышленников гораздо больше. Создателей платформы идентифицировать пока не удалось.
TajMahal включает два основных модуля — Tokyo и Yokohama. С первого начинается атака, и он может остаться в заражённой системе даже после того, как операция кибершпионажа вошла в основную стадию. За последнюю и отвечает Yokohama, поддерживающий собственную виртуальную файловую систему (VFS) со всеми плагинами, вспомогательные библиотеки и конфигурационные файлы.
Другие модули также помогают киберпреступникам перехватывать нажатия клавиш и трансляции веб-камеры, записывать звук и делать снимки экрана, красть документы и ключи шифрования. Более того, насыщенность TajMahal различными инструментами помогает получать доступ к cookie-файлам браузеров и спискам резервного копирования для мобильных устройств Apple, красть данные, которые пользователь собирается записать на компакт-диск, а также документы из очереди на печать.
Проведя анализ вредоносного кода, эксперты определили, что платформа была создана по меньшей мере шесть лет назад, поскольку первые найденные образцы зловредов относятся к апрелю 2013 года. Последнее обновление инструмента для кибершпионажа проводилось в августе 2018-го. Способы распространения и векторы заражения TajMahal исследователям пока неизвестны.
Ранее News.ru сообщил,что «Лаборатория Касперского» также обнаружила теневой интернет-магазин Genesis, занимающийся продажей украденных цифровых личностей. Стоимость подобных «двойников» варьируется от $5 до $200.
