El malware de ciberespionaje Madi


Kaspersky Lab y Seculert han detectado un nuevo malware para ciberespionaje. Madi es una campaña de infiltración a través de un troyano malicioso que se extiende por ingeniería social. Se han identificado más de 800 víctimas en Irán, Israel y algunos países de Oriente Medio.





Fruto de la colaboración entre Kaspersky Lab y Seculert, se ha descubierto una nueva campaña de ciberespionaje contra Oriente Medio. El malware detectado, apodado Madi o Mhadi, ha venido actuando en los últimos ocho meses robando información y permitiendo a los ciberdelincuentes sustraer archivos confidenciales de equipos Windows infectados; controlar el correo electrónico y los mensajes instantáneos; grabar audio y pulsaciones del teclado; y realizar capturas de pantalla y de las actividades de las víctimas.

Ente las aplicaciones más comunes y sitios web espiados destacan cuentas de Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google + y Facebook. El espionaje también se llevó a cabo desde sistemas con ERP / CRM integrados, contratos empresariales y sistemas de gestión financiera. El malware se distribuye mediante emails “gancho” que utilizan técnicas de ingeniería social básica para engañar a los receptores y llevarles a abrir archivos de PowerPoint manipulados. El instalador del malware se encuentra en estos archivos y se ejecuta si el usuario admite una alerta de seguridad de PowerPoint que les advierte de los riesgos de seguridad asociados con la descarga de objetos insertados.

Seculert descubrió el malware Madi hace varios meses mientras investigaba un email sospechoso con uno de esos documentos falsos adjunto, tal y como explica en su blog, y compartió sus hallazgos con Kasperksy Lab para determinar si Madi compartía similitudes con Flame, malware de ciberespionaje que también amenazaba a organizaciones de Irán y Oriente Medio. El nombre del malware procede de un archivo llamado mahdi.txt que se descarga en los ordenadores infectados. Según las creencias islámicas, Mahdi es una figura mesiánica que gobernará el mundo tras el Día del Juicio y lo limpiará de injusticias y maldad. La colaboración entre ambas empresas de seguridad derivó en una operación de sinkholing (tomar el control y destruir la comunicación interna de las bots para que no llegue a su destino) del Comando y Control (C&C) de Madi para supervisar los servidores de la campaña, tras la cual se identificaron más de 800 víctimas de Irán, Israel y otros países conectados a la C&C en los últimos ocho meses.

Los datos analizados del sinkhole muestran que varios gigabytes de datos subidos desde los ordenadores de las víctimas proceden principalmente empresas que trabajan en proyectos de infraestructuras críticas iraníes e israelíes, instituciones financieras de Israel y estudiantes de ingeniería y varias agencias gubernamentales de Oriente Medio. "El malware y la infraestructura es muy básica en comparación con otros proyectos similares, pero Madi ha sido capaz de llevar a cabo una operación de vigilancia constante contra víctimas de alto perfil", afirma Nicolás Brulez, Analista Senior de Malware de Kaspersky Lab. "Tal vez el enfoque “amateur” y de aficionados ayudó a que fluyera la operación a pesar de la vigilancia y dificultar así su detección." También se identificó una cantidad inusual de documentos e imágenes religiosas y políticas de “distracción” que fueron retiradas cuando se produjo la infección inicial. "Curiosamente, nuestro análisis conjunto reveló una gran cantidad de enlaces de origen Persa integrados en el malware y herramientas C&C, algo inusual en el código malicioso, que demuestra que los cibercriminales hablan con fluidez en este idioma ", manifiesta Aviv Raff, Director de Tecnología de Seculert.

Fuente:
http://www.csospain.es/



Otras noticias de interés:

Cookiejacking, la última amenaza de seguridad de Microsoft
Un investigador de seguridad italiano ha descubierto la manera de conseguir cookies con información de contraseñas a través de todas las versiones de Windows y todas la de Internet Explorer....
Los errores humanos, primera causa de la seguridad informática
La Asociación de la Tecnología Informática ha publicado un estudio donde se desprende que la mayoría de las violaciones a la seguridad informática se producen por culpa de errores humanos no por fallos de la tecnología. ...
IV Convención de Computación e Informática - Pucallpa
Todos son invitados cordialmente a participar de la IV Convención de Computación e Informática , la cuál se realizará del 18 al 23 de Junio del 2.007, en la ciudad de Pucallpa - Perú, en la semana previa a la fiesta patronal más grande de la A...
INFORMACIÓN
Debido a que el exploit remoto usado para la incursión lo colocamos hoy (23/01/2003) en nuestro propio server y estaban conex un número bastante significativo de usuarios, aunado a eso recibimos tambien ataques DoS, por lo que el Ancho de Banda dis...
Descubren el primer virus SMS
La empresa de seguridad F-Secure advierte de una posible epidemia de spam a través de mensajes de texto o SMS....
espiaface.com es una aplicación maliciosa que invade cuentas Facebook
Sigo sin comprender como cientos y hasta miles de usuarios siguen creyendo en aplicaciones como estas, cuando la misma gente de FACEBOOK ha dicho en muchas oportunidades que NO SE PUEDE HACER ESO, ya que su sistema [no lo permite] (solo ellos pueden ...
Falsificación de certificado en el navegador de Android
Se ha anunciado una nueva vulnerabilidad que afecta al navegador por defecto de Android. ...
Nuevas versiones de OpenSSL
Se han publicado versiones nuevas de la librería OpenSSL, que solucionan dos graves problemas de seguridad. Concretamente, 0. .6j y 0.9.7b. ...
Hackeado sitio de la hojilladigital y aporrea (Venezuela) el 14-06-2007
Según indica DOWNFALLER-PLATEADO ambos sitios fueron [ derribados ] por su falta de democracia...
Opera Link abre su API
Seguro que todos los usuarios de Opera aprecian de una u otra forma a Opera Link. Opera link sincroniza marcadores, contraseñas y demás entre todas las intalaciones de Opera que quieras, incluyendo versiones móviles. Lo malo es que Opera Link es e...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • ciberespionaje
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • madi
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra