Durante l\u2019autunno dell\u2019anno scorso, abbiamo identificato un attacco a un\u2019organizzazione diplomatica di un paese dell\u2019Asia centrale. Non ci sarebbe nulla da raccontare (si sa che i diplomatici e i loro sistemi informatici attirano l\u2019interesse di diverse forze politiche), se non fosse per il tool impiegato: una nuova piattaforma APT chiamata TajMahal.<\/p>\n\n
Non parliamo di un mero set di backdoor, ma di un framework spyware altamente tecnologico e di qualit\u00e0, dotato di tantissimi plugin (i nostri esperti hanno trovato 80 moduli dannosi fino a ora) e che consente di perpetrare attacchi di ogni tipo. Secondo i nostri esperti, TajMahal \u00e8 attivo da cinque anni ma finora \u00e8 stata individuata una sola vittima, per cui siamo sicuri che ne saranno presto identificate delle altre.<\/p>\n
La piattaforma APT \u00e8 formata da due parti principali, Tokyo e Yokohama. Entrambe sono state individuate su tutti i computer infettati. Tokyo fa da backdoor principale e si occupa di diffondere la seconda fase del malware. L\u2019aspetto interessante \u00e8 che Tokyo rimane all\u2019interno del sistema anche quando la seconda fase \u00e8 iniziata, fungendo evidentemente da secondo canale di comunicazione. Nel frattempo, Yokohama \u00e8 l\u2019arma di punta della seconda fase: si tratta di un payload che crea un sistema di file virtuale completo di plugin, librerie di terze parti e file di configurazione. Un arsenale molto vasto che permette di:<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2019\/04\/10130812\/The_TajMahal_attackprocess_final.jpg\")
<\/p>\n
TajMahal \u00e8 una scoperta molto preoccupante per via della sua complessit\u00e0 tecnica e il numero delle vittime sicuramente aumenter\u00e0. Ricordiamo che TajMahal \u00e8 stato individuato per la prima volta dai prodotti Kaspersky Lab. Per maggiori dettagli tecnici sulla minaccia, vi invitiamo a leggere il post dedicato su Securelist<\/a> (in lingua inglese).<\/p>\n