El malware de ciberespionaje Madi


Kaspersky Lab y Seculert han detectado un nuevo malware para ciberespionaje. Madi es una campaña de infiltración a través de un troyano malicioso que se extiende por ingeniería social. Se han identificado más de 800 víctimas en Irán, Israel y algunos países de Oriente Medio.





Fruto de la colaboración entre Kaspersky Lab y Seculert, se ha descubierto una nueva campaña de ciberespionaje contra Oriente Medio. El malware detectado, apodado Madi o Mhadi, ha venido actuando en los últimos ocho meses robando información y permitiendo a los ciberdelincuentes sustraer archivos confidenciales de equipos Windows infectados; controlar el correo electrónico y los mensajes instantáneos; grabar audio y pulsaciones del teclado; y realizar capturas de pantalla y de las actividades de las víctimas.

Ente las aplicaciones más comunes y sitios web espiados destacan cuentas de Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google + y Facebook. El espionaje también se llevó a cabo desde sistemas con ERP / CRM integrados, contratos empresariales y sistemas de gestión financiera. El malware se distribuye mediante emails “gancho” que utilizan técnicas de ingeniería social básica para engañar a los receptores y llevarles a abrir archivos de PowerPoint manipulados. El instalador del malware se encuentra en estos archivos y se ejecuta si el usuario admite una alerta de seguridad de PowerPoint que les advierte de los riesgos de seguridad asociados con la descarga de objetos insertados.

Seculert descubrió el malware Madi hace varios meses mientras investigaba un email sospechoso con uno de esos documentos falsos adjunto, tal y como explica en su blog, y compartió sus hallazgos con Kasperksy Lab para determinar si Madi compartía similitudes con Flame, malware de ciberespionaje que también amenazaba a organizaciones de Irán y Oriente Medio. El nombre del malware procede de un archivo llamado mahdi.txt que se descarga en los ordenadores infectados. Según las creencias islámicas, Mahdi es una figura mesiánica que gobernará el mundo tras el Día del Juicio y lo limpiará de injusticias y maldad. La colaboración entre ambas empresas de seguridad derivó en una operación de sinkholing (tomar el control y destruir la comunicación interna de las bots para que no llegue a su destino) del Comando y Control (C&C) de Madi para supervisar los servidores de la campaña, tras la cual se identificaron más de 800 víctimas de Irán, Israel y otros países conectados a la C&C en los últimos ocho meses.

Los datos analizados del sinkhole muestran que varios gigabytes de datos subidos desde los ordenadores de las víctimas proceden principalmente empresas que trabajan en proyectos de infraestructuras críticas iraníes e israelíes, instituciones financieras de Israel y estudiantes de ingeniería y varias agencias gubernamentales de Oriente Medio. "El malware y la infraestructura es muy básica en comparación con otros proyectos similares, pero Madi ha sido capaz de llevar a cabo una operación de vigilancia constante contra víctimas de alto perfil", afirma Nicolás Brulez, Analista Senior de Malware de Kaspersky Lab. "Tal vez el enfoque “amateur” y de aficionados ayudó a que fluyera la operación a pesar de la vigilancia y dificultar así su detección." También se identificó una cantidad inusual de documentos e imágenes religiosas y políticas de “distracción” que fueron retiradas cuando se produjo la infección inicial. "Curiosamente, nuestro análisis conjunto reveló una gran cantidad de enlaces de origen Persa integrados en el malware y herramientas C&C, algo inusual en el código malicioso, que demuestra que los cibercriminales hablan con fluidez en este idioma ", manifiesta Aviv Raff, Director de Tecnología de Seculert.

Fuente:
http://www.csospain.es/



Otras noticias de interés:

COMIENZA EL SEGUNDO CONCURSO DE HACKING: BOINAS NEGRAS
Estan abiertaslas inscripciones de participantes del II Reto de Hacking Web organizado por Instituto Seguridad Internet. Como la duración del reto está limitada a un mes, los usuarios podrán registrarse con antelación con el fin de que cuando dé...
El navegador de Opera será gratuito a partir de ahora
El grupo noruego Opera Software ha anunciado que su navegador Opera será desde ahora gratuito, y dejará de llevar publicidad. El objetivo de la compañía es arañar cuota de mercado a su competidor Firefox. ...
Rechazan apelación de Microsoft sobre patente de FAT
Una vez más, la Oficina Estadounidense de Patentes y Marcas ha rechazado la solicitud de Microsoft de patentar FAT. Sin embargo, los círculos de desarrolladores de Linux aún no pueden cantar victoria. ...
Randi Zuckerberg: No al anonimato
La hermana de Mark Zuckerberg, directora de marketing de Facebook, expresó: Creo que el anonimato en Internet tiene que desaparecer....
Mozilla publica 9 boletines de seguridad
La Fundación Mozilla ha publicado nueve boletines de seguridad (del MFSA 2012-01 al MFSA 2012-09) que solucionan diez vulnerabilidades para todos sus productos (Firefox, Thunderbird y SeaMonkey)....
Top ten de passwords: los menos recomendados
Según un estudio realizado por la consultora de seguridad Silicon.com, las 10 contraseñas más utilizadas son, a su vez, las más fáciles de adivinar. La compañía realizó una lista de estas contraseñas, que definió como las más vulnerables y...
Ejecución de código vía Firefox y QuikTime plugin
Se ha reportado una vulnerabilidad multiplataforma del tipo Zero-day, que permite la ejecución de código malicioso a través de Firefox y el plugin para QuickTime....
Nuevo metodo de escritura en disco duro
Parecía que los discos duros tradicionales no podían dar mucho más de sí en avances tecnológicos, pero nos equivocábamos: el denominado Bit-Patterned Recording (BPR) y Thermally-Assisted Recording (TAR) podrían aumentar la densidad de grabaci...
MSN dirige su estrategia hacia la banda ancha
MSN, la rama de Internet de Microsoft, busca usuarios de servicios de alta velocidad en lugar de competir con America Online por el desacelerado, aunque mayor, negocio de acceso a la red a través de conexiones telefónicas convencionales. ...
Dominio .ve.la
Enviando el comunicado de HVen a este llamado underground note que estan vendiendo un dominio .ve.la. Esta noticias es para informar la verdad sobre este dominio. No tiene otro nombre, es una simple estafa. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • ciberespionaje
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • madi
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra