Kaspersky Lab och Seculert presenterar ‘Madi’, en nyligen upptäckt cyberspionagekampanj i Mellanöstern

Kaspersky Labs forskare presenterar nu resultatet av en undersökning som utförts tillsammans med säkerhetsföretaget Seculert angående Madi – en aktiv cyberspionagekampanj som riktar in sig på Mellanöstern. Madi upptäcktes först av Seculert och är en trojan som genom social ingenjörskonst infiltrerar nätverk på noga utvalda mål.

Kaspersky Lab och Seculert arbetade tillsammans för att ta sig in i Madis kommandoservrar för att övervaka hotet och identifierade över 800 drabbade i Iran, Israel och utvalda länder världen över som kopplat upp sig mot kommandoservern under de senaste åtta månaderna. Statistiken visar att offren främst är affärsmän/kvinnor som arbetar på kritiska infrastrukturprojekt i Iran och Israel, israeliska finansinstitut, ingenjörsstudenter i Mellanöstern och flera olika myndigheter som kommunicerar i Mellanöstern.

Man upptäckte också att Madi för att sprida sig använde ovanligt mycket bilder av religiös eller politisk karaktär – men det som användaren ser som bilder eller filer och ovetandes öppnar är i själva verket program som infekterar datorn.

– Madis kod och struktur är relativt enkel jämförd med andra liknande hot, men de som ligger bakom Madi-attackerna har ändå kunnat genomföra en långvarig övervakning av högprofilerade offer. Kanske har just det amatörmässiga och primitiva tillvägagångssättet bidragit till att aktiviteterna flugit under radarn och inte upptäckts, säger Nicolas Brulez, Senior Malware Researcher på Kaspersky Lab.

– Intressant nog avslöjade vår gemensamma analys en hel del strängar på persiska utspridda både i den skadliga koden och i kommandoverktygen, vilket är ovanligt att se i skadlig kod. Angriparna var utan tvekan flytande i detta språk, säger Aviv Raff, Chief Technology Officer på Seculert.

Den informationsstjälande trojanen Madi gör det möjligt för en angripare att på distans stjäla känsliga filer från infekterade Windowsdatorer, övervaka känslig kommunikation över epost och snabbmeddelanden, spela in ljud och registrera tangenttryckningar samt ta skärmdumpar på offrens aktiviteter på datorn. Analysen visar att flera gigabyte data har laddats upp från offrens datorer.

Vanliga program och webbsidor som Madi spionerar på inkluderar Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ och Facebook. Övervakning utförs också över integrerade ERP/CRM-system, affärskontrakt och ekonomisystem.

Kaspersky Labs Anti-Virus detekterar Madi-varianter som Trojan.Win32.Madi.

För att läsa hela Kaspersky Labs forskningsrapport, gå till: Securelist

För att läsa Seculerts forskning, gå till: SeculertBlog.