O regresso de “Madi”: novos truques, servidor C&C e alvo de ataque

26 jul 2012
Notícias de Vírus

Após o encerramento por parte da Kaspersky Lab dos servidores C&C da campanha Madi na semana passada, pensou-se que esta operação de ciber-espionagem tinha chegado ao fim, mas parece que esta semana voltou a surgir. Originalmente descoberta pela Seculert, Madi é uma campanha de infiltração através de um Trojan malicioso que se espalha por engenharia social até atacar alvos cuidadosamente seleccionados.

A Kaspersky Lab e a Seculert trabalharam em conjunto na operação de sinkholing (tomar o controlo e destruir a comunicação interna das bots para que não chegue ao seu destino) do Comando e Controlo (C&C) do Madi, para supervisionar os servidores da campanha, tendo no processo identificado mais de 800 vítimas localizadas no Irão, Israel e alguns países do resto do mundo ligados aos C&C nos últimos oito meses.

Esta nova versão foi detectada a 25 de Julho e conta com melhoramentos e novas peculiaridades. Agora tem a capacidade de supervisionar a VKontakte (rede social de origem russa), bem como conversações no Jabber (sistema de mensagens instantâneas). Além disso, segue utilizadores que visitam as páginas que contêm "EUA" e "governo" nas suas buscas. Nestes casos específicos, o malware faz capturas de ecrã e carrega-as no C2. Damos-lhe aqui uma lista completa das palavras-chave de monitorização:


"gmail", "hotmail", "yahoo! mail" , "google+", "msn messenger", "blogger", "messenger", "profile", "icq" , “outlook”, “myspace”, "paltalk", "yahoo! messenger for the web", "skype", "facebook" ,"imo", "meebo", "state" , "usa" , "u.s", "contact" ,"chat" ,"gov"


Comparativamente com as variantes anteriores, existem algumas alterações. Por exemplo, quando é executada, a nova versão cria um MUTEX para evitar o uso simultâneo de recursos comuns chamado “miMutexCopy Mohammad Etedali "www.irandelphi.ir"". Este liberta um ficheiro que contém a data actual e comprova se o ficheiro poki65.pik está presente na pasta, que é o ficheiro de código keylogger idêntico ao das variantes anteriores, mas cuja função de link é um pouco diferente.

O código foi fundido a partir de sub-rotinas diferentes num único procedimento. Talvez a mudança mais notável seja a Infostealer que já não espera pelos "comandos" do C2 – mas que simplesmente carrega todos os dados roubados no servidor de imediato. O novo servidor de comando e controlo encontra-se no Canadá, mais concretamente em Montreal.

Resumindo, a investigação levada a cabo pela Kaspersky e pela Seculert indica que a campanha Madi ainda está em curso, agora com novas versões que incluem características melhoradas e novos truques. Os controlos adicionais para os termos "EUA" e "governo" podem indicar uma mudança de alvo de Israel para os Estados Unidos.

Para informações adicionais sobre este assunto, visite a Securelist.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.