Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/07/2012
El virus 'Madi' arrasa en Orient Mitjà amb nova campanya de ciberespionaje
Kaspersky Lab i Seculert anuncien el resultat d’una investigació conjunta en què s’ha descobert Madi, una nova campanya de ciberespionatge activa dirigida a l’Orient Mitjà. Entre les aplicacions més comunes i llocs web espiats destaquen comptes de Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+, i Facebook.
Originàriament descoberta per Seculert, Madi és una campanya d’infiltració a través d’un troià maliciós que s’estén per enginyeria social a objectius acuradament seleccionats.
Kaspersky Lab i Seculert van treballar junts en una operació de sinkholing (prendre el control i destruir la comunicació interna dels robots perquè no arribe al seu destí) del servidor de Comandament i Control (C&C) de Madi per a supervisar els servidors de la campanya. Kaspersky Lab i Seculert van identificar més de 800 víctimes localitzades a Iran, Israel i alguns països de la resta del món connectats al C&C en els últims huit mesos.
Les dades analitzades del sinkhole mostren que diversos gigabytes de dades que es van pujar des dels ordinadors de les víctimes procedixen principalment d’empreses que treballen en projectes d’infraestructures crítiques iranianes i israelianes, institucions financeres d’Israel, estudiants d’enginyeria i unes quantes agències governamentals de l’Orient Mitjà.
A més, l’anàlisi del programari maliciós ha identificat una quantitat inusual de documents i imatges religioses i polítiques de "distracció" que van ser retirades quan es va produir la infecció inicial.
"El programari maliciós i la infraestructura és molt bàsica en comparació amb altres projectes semblants, però Madi ha sigut capaç de dur a terme una operació de vigilància constant contra víctimes d’alt perfil", afirma Nicolás Brulez, analista sènior de programari maliciós de Kaspersky Lab. "Tal vegada l’enfocament “amateur" i d’aficionats va ajudar a fer que fluïra l’operació a pesar de la vigilància i dificultar així la seua detecció".
"Curiosament, la nostra anàlisi conjunta va revelar una gran quantitat d’enllaços d’origen persa integrats en el programari maliciós i ferramentes C&C, quelcom inusual en el codi maliciós que demostra que els cibercriminals parlen amb fluïdesa este idioma", manifesta Aviv Raff, director de Tecnologia de Seculert.
El troià Madi roba informació i permet a ciberdelinqüents sostraure els arxius confidencials dels ordinadors Windows infectats, controlar les comunicacions sensibles, com a correu electrònic i missatges instantanis, gravar àudio, pulsacions del teclat, realitzar captures de pantalla i de les activitats de les víctimes.
Entre les aplicacions més comunes i llocs web espiats destaquen comptes de Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google + i Facebook. L’espionatge també es va dur a terme des de sistemes amb ERP / CRM integrats, contractes empresarials i sistemes de gestió financera.
L’antivirus de Kaspersky Lab detecta el sistema de les variants de programari maliciós Madi, així com els seus mòduls integrats, classificats com a Trojan.Win32. Madi.
Més informació en el blog SecureList de Kaspersky Lab i en el blog de Seculert.