"Лаборатория Касперского" и израильская компания Seculert представили результаты исследования вредоносной программы Madi, предназначенной для совершения целенаправленных атак на пользователей в ближневосточном регионе с целью кражи конфиденциальной информации. Для распространения троянца и заражения компьютеров жертв использовались методы социальной инженерии.
Специалисты "Лаборатории Касперского" и Seculert установили контроль над серверами управления Madi за счет внедрения sinkhole-маршрутизатора. Это позволило определить более 800 жертв, находящихся в Израиле, Иране и некоторых других странах, которые были подключены к командным серверам злоумышленников на протяжении последних 8 месяцев. Полученные данные позволили сделать вывод, что основной целью атак были люди, имеющие отношение к разработке критически важных инфраструктурных проектов Ирана и Израиля, израильским финансовым организациям, а также студенты инженерных специальностей и различные правительственные структуры, действующие на Ближнем Востоке.
В ходе детального исследования вредоносной программы было выявлено большое количество "отвлекающих" религиозных и политических документов и фотографий, которые были использованы в ходе заражения компьютеров пользователей.
"Несмотря на то, что используемая вредоносная программа и инфраструктура преступников были далеко не самыми сложными, злоумышленникам удалось в течение достаточно продолжительного времени вести наблюдение за жертвами, - цитирует ТАСС-Телекомведущего антивирусного эксперта "Лаборатории Касперского" Николя Бруле. - Возможно, именно из-за непрофессионализма организаторов их атаки долгое время оставались необнаруженными".
"Стоит отметить, что в ходе нашего совместного с "Лабораторией Касперского" расследования мы выявили множество персидских "ниточек" как в самом троянце, так и в системе управления им. Наличие подобной информации во вредоносном коде - большая редкость. Нет никаких сомнений в том, что злоумышленники владеют языком фарси на уровне носителей", - заявил Авив Рафф, технический директор компании Seculert.
Троянец Madi предоставляет злоумышленникам удаленный доступ зараженным компьютерам, работающим под управлением операционной системы Windows. Преступники получают возможность перехватывать электронную почту и мгновенные сообщения, включать микрофон и делать аудио-записи разговоров, следить за нажатием клавиш на клавиатуре, а также делать скриншоты рабочего стола жертвы. По данным экспертов, объем данных, переданных с зараженных компьютеров, исчисляется гигабайтами.
В антивирусной базе "Лаборатории Касперского" различные модификации троянца Madi, а также связанные с ним модули, в том числе загрузочные, детектируются как Trojan.Win32.Madi.
Источник: newsru.co.il
