Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/07/2012
El virus "Madi" arrasa en Oriente Medio con nueva campaña de ciberespionaje
Kaspersky Lab y Seculert anuncian el resultado de una investigación conjunta en la que se ha descubierto "Madi", una nueva campaña de ciberespionaje activa dirigida a Oriente Medio. Ente las aplicaciones más comunes y sitios web espiados destacan cuentas de Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+, y Facebook.
Originalmente descubierta por Seculert, Madi es una campaña de infiltración a través de un troyano malicioso que se extiende por ingeniería social a objetivos cuidadosamente seleccionados.
Kaspersky Lab y Seculert trabajaron juntos en una operación de sinkholing (tomar el control y destruir la comunicación interna de las bots para que no llegue a su destino) del servidor de Comando y Control (C&C) de Madi para supervisar los servidores de la campaña. Kaspersky Lab y Seculert identificaron más de 800 víctimas localizadas en Irán, Israel y algunos países del resto del mundo conectados al C&C en los últimos ocho meses.
Los datos analizados del sinkhole muestran que varios gigabytes de datos que se subieron desde los ordenadores de las víctimas proceden principalmente de empresas que trabajan en proyectos de infraestructuras críticas iraníes e israelíes, instituciones financieras de Israel, estudiantes de ingeniería, y varias agencias gubernamentales de Oriente Medio.
Además, el análisis del malware ha identificado una cantidad inusual de documentos e imágenes religiosas y políticas de "distracción" que fueron retiradas cuando se produjo la infección inicial.
"El malware y la infraestructura es muy básica en comparación con otros proyectos similares, pero Madi ha sido capaz de llevar a cabo una operación de vigilancia constante contra víctimas de alto perfil", afirma Nicolás Brulez, Analista Senior de Malware de Kaspersky Lab. "Tal vez el enfoque “amateur" y de aficionados ayudó a que fluyera la operación a pesar de la vigilancia y dificultar así su detección".
"Curiosamente, nuestro análisis conjunto reveló una gran cantidad de enlaces de origen Persa integrados en el malware y herramientas C&C, algo inusual en el código malicioso, que demuestra que los cibercriminales hablan con fluidez en este idioma", manifiesta Aviv Raff, Director de Tecnología de Seculert.
El troyano Madi roba información y permite a ciberdelincuentes sustraer los archivos confidenciales de los ordenadores Windows infectados, controlar las comunicaciones sensibles, como correo electrónico y mensajes instantáneos, grabar audio, pulsaciones del teclado, realizar capturas de pantalla y de las actividades de las víctimas.
Ente las aplicaciones más comunes y sitios web espiados destacan cuentas de Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google + y Facebook. El espionaje también se llevó a cabo desde sistemas con ERP / CRM integrados, contratos empresariales y sistemas de gestión financiera.
El Antivirus de Kaspersky Lab detecta el sistema de las variantes de malware Madi, así como sus módulos integrados, clasificados como Trojan.Win32.Madi.
Más información en el blog SecureList de Kaspersky Lab y en el blog de Seculert.