Компании "Лаборатория Касперского" и Seculert обнародовали итоги исследования вредоносной программы Madi. Она предназначена для совершения целенаправленных атак на ряд пользователей в ближневосточном регионе с целью кражи конфиденциальной информации. Для распространения троянца и заражения компьютеров жертв использовались методы социальной инженерии.
Эксперты компаний установили контроль над серверами управления Madi за счет внедрения sinkhole-маршрутизатора. Это позволило определить более 800 жертв, находящихся в Иране, Израиле и ряде других стран, которые были подключены к командным серверам злоумышленников в течение последних 8 месяцев. В ходе детального исследования вредоносной программы было выявлено большое количество "отвлекающих" религиозных и политических документов и фотографий, которые были использованы в ходе заражения компьютеров пользователей.
"Несмотря на то, что используемая вредоносная программа и инфраструктура преступников были далеко не самыми сложными, злоумышленникам удалось в течение достаточно продолжительного времени вести наблюдение за жертвами, - прокомментировал Николя Бруле, ведущий антивирусный эксперт "Лаборатории Касперского". - Возможно, именно из-за непрофессионализма организаторов их атаки долгое время оставались необнаруженными".
"Стоит отметить, что в ходе нашего совместного с "Лабораторией Касперского" расследования мы выявили множество персидских "ниточек" как в самом троянце, так и в системе управления им. Наличие подобной информации во вредоносном коде - большая редкость. Нет никаких сомнений в том, что злоумышленники владеют языком фарси на уровне носителей", - уверен Авиф Рафф, технический директор компании Seculert.
Троянец Madi предоставляет злоумышленникам удаленный доступ к файлам, расположенным на зараженных компьютерах, работающих под управлением ОС Windows. Преступники получают возможность перехватывать электронную почту и мгновенные сообщения, включать микрофон и делать аудиозаписи разговоров, следить за нажатием клавиш на клавиатуре, а также делать скриншоты рабочего стола жертвы. По данным экспертов, объем данных, переданных с компьютеров жертв, исчисляется гигабайтами.
Среди приложений и сайтов, которые использовались для слежения за жертвами - Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ и Facebook. Для получения дополнительной информации были задействованы ERP/CRM-системы, базы деловых контактов и системы управления финансовой деятельностью.