Madi: чергова загроза з Близького Сходу

«Лабораторія Касперського» і компанія Seculert представили результати дослідження шкідливої програми Madi, призначеної для здійснення цілеспрямованих атак на ряд користувачів у близькосхідному регіоні з метою крадіжки конфіденційної інформації. Для розповсюдження троянця і зараження комп'ютерів жертв використовувалися методи соціальної інженерії.

Експерти «Лабораторії Касперського» і Seculert встановили контроль над серверами управління Madi за рахунок впровадження sinkhole-маршрутизатора. Це дозволило визначити понад 800 жертв, які перебувають в Ірані, Ізраїлі та низці інших країн світу, які були підключені до командних серверів зловмисників протягом останніх восьми місяців. Отримані дані дозволили зробити висновок, що основною метою атак були люди, що мають відношення до розробки критично важливих інфраструктурних проектів Ірану і Ізраїлю, ізраїльським фінансовим організаціям, студенти інженерних спеціальностей, а також різні урядові структури, які діють на території Близького Сходу.

Крім того, в ході детального дослідження шкідливої програми було виявлено велику кількість відволікаючих» релігійних і політичних документів і фотографій, які були використані в ході зараження комп'ютерів користувачів.

«Незважаючи на те, що використовувана шкідлива програма та інфраструктура злочинців були далеко не найскладнішими зловмисникам вдалося протягом досить тривалого часу вести спостереження за жертвами, - прокоментував результати дослідження Ніколя Бруле (Nicolas Brulez), провідний антивірусний експерт «Лабораторії Касперського». - Можливо, саме з-за непрофесіоналізму організаторів їх атаки довгий час залишалися невиявленими».

«Варто відзначити, що в ході нашого спільного з «Лабораторії Касперського» розслідування ми виявили безліч перських «ниточок» як в самому троянце, так і в системі управління ім. Наявність такої інформації у шкідливий код - велика рідкість. Немає ніяких сумнівів у тому, що зловмисники володіють мовою фарсі на рівні носіїв», - упевнений Авіт Рафф (Aviv Raff), технічний директор компанії Seculert.

Троянець Madi надає зловмисникам віддалений доступ до файлів, розташованих на заражених комп'ютерів, що працюють під управлінням ОС Windows. Злочинці отримують можливість перехоплювати електронну пошту та миттєві повідомлення, включати мікрофон і робити аудіо записи розмов, стежити за натисканням клавіш на клавіатурі, а також робити скріншоти робочого столу жертви. За даними експертів, обсяг даних, переданих з комп'ютерів жертв, обчислюється гігабайтами.

Серед додатків і Веб-сайтів, які використовувалися для стеження за жертвами, були Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ і Facebook. Крім того, для отримання додаткової інформації були задіяні ERP/CRM-системи, бази ділових контактів і системи управління фінансовою діяльністю.

В антивірусній базі «Лабораторії Касперського» різні модифікації троянця Madi, а також пов'язані з ним модулі, у тому числі завантажувальні, як детектуються Trojan.Win32.Madi.