“Madi”: uma nova campanha de ciber-espionagem no Médio Oriente descoberta pela Kaspersky Lab e Seculert

17 jul 2012
Notícias de Vírus

A Kaspersky Lab e a Seculert, companhia especializada na detecção de ameaças avançadas, anunciam o resultado de uma investigação conjunta que culminou na descoberta de “Madi”, uma nova campanha de ciber-espionagem activa direccionada ao Médio Oriente. Originalmente descoberta pela Seculert, Madi é uma campanha de infiltração realizada através de um Trojan malicioso que se espalha através de engenharia social, atingindo alvos cuidadosamente seleccionados.

A Kaspersky Lab e a Seculert trabalharam juntas na operação de sinkholing (tomar o controlo e destruir a comunicação interna das bots para que não cheguem ao seu destino) do Comando e Controlo (C&C) do Madi, para supervisionar os servidores da campanha. A Kaspersky Lab e Seculert já identificaram mais de 800 vítimas localizadas no Irão, Israel e em alguns países do resto do mundo ligados ao C&C nos últimos oito meses.

Os dados analisados do sinkhole mostram que vários gigabytes de dados carregados a partir dos computadores das vítimas procedem principalmente de empresas que trabalham em projectos de infra-estruturas críticas iranianas e israelitas, instituições financeiras de Israel e estudantes de engenharia e várias agências governamentais do Médio Oriente.

Além disso, a análise ao malware identificou uma quantidade incomum de documentos e imagens religiosas e políticas, que foram retiradas quando aconteceu a infecção inicial.

"O malware e a infra-estrutura são muito básicos em comparação com outros projectos similares, mas o Madi foi capaz de levar a cabo uma operação de vigilância constante contra vítimas de elevado perfil", conta Nicolás Brulez, Analista Sénior de Malware da Kaspersky Lab, segundo o qual "talvez a abordagem algo amadora e rudimentar tenha feito com que as operações decorressem ‘por debaixo do radar’, dificultando assim a sua detecção."

"Curiosamente, nossa análise conjunta revelou uma grande quantidade de links de origem Persa integrados no malware e ferramentas C&C, algo incomum no código malicioso, que demonstra que os cibercriminosos falam fluentemente este idioma ", acrescenta Aviv Raff, Director de Tecnologia da Seculert.

O Trojan Madi rouba informação e permite aos cibercriminosos subtrair os ficheiros confidenciais dos computadores Windows infectados, controlar as comunicações sensíveis, como correio electrónico e mensagens instantâneas, gravar áudio, registar teclas premidas e realizar capturas de ecrã das actividades das vítimas.

Ente as aplicações mais comuns e sites espiados destacam-se contas do Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google + e Facebook. A espionagem também afectou sistemas com ERP/CRM integrados, contractos empresariais e sistemas de gestão financeira.

O antivírus da Kaspersky Lab detecta todas as variantes do malware Madi, bem como os seus módulos integrados, classificados como Trojan.win32.madi.

Para ler a entrada de blogue completa sobre este tema, visite a Securelist.

Para ler o blogue sobre o Madi da Seculert, visite Seculert Blog.

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.