Vuelve “Madi”: nuevos trucos, servidor C&C y objetivo de ataque

26 jul
Noticias de Virus

Vuelve “Madi”: nuevos trucos, servidor C&C y objetivo de ataque

Se trata de una nueva versión de la campaña de ciberespionaje en Oriente Medio descubierta por Kaspersky Lab y Seculert hace unas semanas

Los controles adicionales para "EE.UU." y "gobierno" podrían indicar un cambio de enfoque de sus objetivos desde Israel hacia los EE.UU.

Madrid, 26 de julio de 2012 – Tras el cierre del C&C de Madi la pasada semana por parte de Kaspersky Lab se pensó que la operación había concluido, pero parece que esta semana ha resurgido. El troyano, originalmente descubierto por  Seculert, es una campaña de infiltración a través de un troyano malicioso que se extiende por ingeniería social a objetivos cuidadosamente seleccionados.

Kaspersky Lab y Seculert trabajaron juntos en la operación de sinkholing (tomar el control y destruir la comunicación interna de las bots para que no llegue a su destino) del Comando y Control (C&C) de Madi  para supervisar los servidores de la campaña y se identificaron más de 800 víctimas localizadas en Irán, Israel y algunos países del resto del mundo conectados a la C&C en los últimos ocho meses.

La nueva versión se ha detectado el 25 de julio y contiene mejoras y nuevas peculiaridades. Ahora tiene la capacidad de supervisar VKontakte (red social de origen ruso), junto con conversaciones Jabber (de mensajería instantánea). Además, sigue a usuarios que visitan las páginas que contengan "EE.UU." y "gobierno" en sus búsquedas. En esos casos, el malware hace capturas de pantalla y las carga en el C2. Aquí ofrecemos una lista completa de palabras clave de monitorización: 

 

"gmail", "hotmail", "yahoo! mail" , "google+", "msn messenger", "blogger", "messenger", "profile", "icq" , “outlook”, “myspace”, "paltalk", "yahoo! messenger for the web", "skype", "facebook" ,"imo", "meebo", "state" , "usa" , "u.s", "contact" ,"chat" ,"gov"

 

En comparación con las variantes anteriores, existen algunos cambios. Por ejemplo, cuando se ejecuta, la nueva versión crea un mutex para evitar el uso simultáneo de recursos comunes llamado miMutexCopy Mohammad Etedali "www.irandelphi.ir". Suelta un fichero que contiene la fecha actual y comprueba si poki65.pik está presente en la carpeta, que es el archivo de código keylogger idéntico al de las variantes anteriores, pero cuya función de enlace es un poco diferente.

El código se ha fusionado desde subrutinas diferentes en un único procedimiento. Quizás el cambio más importante es la Infostealer que ya no espera "comandos" de la C2 – sino que  simplemente carga todos los datos robados en el servidor de inmediato. El nuevo servidor de comando y control se encuentra en Canadá, Montreal.

En resumen, los hallazgos actuales indican que la campaña Madi está aún en curso con nuevas versiones que incluyen características mejoradas y nuevos trucos. Los controles adicionales para "EE.UU." y "gobierno" podrían indicar un cambio de enfoque de sus objetivos de Israel a los EE.UU.

Para leer el blog completo sobre este tema de Kaspersky Lab: Securelist

Sala de Prensa de Kaspersky Kab:

Sala de Prensa de Kaspersky Lab: http://newsroom.kaspersky.eu/es/home

Para más información, contactar con:

e-Verythink PR
Virginia Frutos
Tel.   +34 91 502 59 59 
Mov. +34 670 502 902 
Email: virginia.frutos@everithink.com

Kaspersky Lab Iberia
Vanessa González
Directora de Comunicación
Tel. +34 91 398 37 52 ext 3380
Email: vanessa.gonzalez@kaspersky.es

© La información contenida en la presente puede ser modificada sin previo aviso. Las únicas garantías de los productos y servicios de Kaspersky Lab quedan establecidas de ahora en adelante en las declaraciones de garantía expresa que acompañan a dichos productos y servicios. Ninguno de los contenidos de la presente podrá ser interpretado como garantía adicional. Kaspersky Lab no se hace responsable de los errores técnicos o editoriales u omisiones presentes en el texto.