Росія і США під загрозою троянця Madi

Незважаючи на відключення командних серверів шкідливої програми Madi, призначеної для здійснення цілеспрямованих атак на користувачів у близькосхідному регіоні і крадіжки у них конфіденційних даних, її історія поки не закінчена.

Експерти «Лабораторії Касперського» виявили нову версію троянця, що володіє розширеним функціоналом. Зокрема вона стежить за сайтом VKontakte, а також шукає відвідувачів сторінок, що містять у назві елементи «USA» і «gov», що може говорити про переорієнтацію зловмисників на Росію і США.

«Одним з важливих змін також є те, що тепер зловред не чекає «команд» від сервера управління, а відразу завантажує на нього всі викрадені дані», - говорить експерт «Лабораторії Касперського» Ніколя Брюле (Nicolas Brulez). Попередні версії Madi керувалися з Ірану і Канади. Новий командний сервер троянця також знаходиться в Канаді.

Експерти «Лабораторії Касперського» провели детальний технічний аналіз Madi, в якому детально описали функціонал троянця, механізм його установки, перехоплення натиснення клавіш, взаємодії з командними серверами, крадіжки даних, моніторингу комунікацій, запису аудіо файлів і зняття скріншотів з робочого слота жертви. Нижче представлені узагальнені результати дослідження:

• Незважаючи на простоту самої шкідливої програми, а також використовуваних методів соціальної інженерії, зловмисникам вдалося заразити комп ’ ютери більше 800 жертв, у тому числі тих, що конфіденційною інформацією.

• Madi є яскравим прикладом того, як легковажне ставлення користувачів до отримуваних повідомлень може призвести до втрати важливих даних.

• У ході проведення атаки не були використані ні експлойти, ні уразливості нульового дня, що зробило її результати ще більш несподіваним для експертів.