Opnieuw is er een nieuwe vorm van malware blootgelegd door Kaspersky Lab, een trojan genaamd Madi. Deze keer in samenwerking met Seculert, een bedrijf gespecialiseerd in het detecteren van digitale dreigingen. Opmerkelijk is dat ook deze vorm van malware gericht is op het Midden-Oosten, net zoals Flamer, Duku en Stuxnet.
Er is echter wel een groot verschil tussen deze malware en eerder genoemde. Verschillende beveiligingsbedrijven vermoeden dat Flamer, Duku en Stuxnet het werk zijn van een speciaal team dat in dienst is van een overheid. Waarbij Israel en de VS het meest genoemd worden, dit is echter nooit bewezen.
De malware die vandaag is blootgelegd richt zich wederom op het Midden-Oosten maar kan niet tippen aan de kwaliteit en technische niveau van eerder genoemde. De Madi malware die vandaag door Kaspersky en Seculert is blootgelegd was juist kinderlijk eenvoudig, maar doordat het zo eenvoudig was bleef het onder de radar van veel beveiligingsbedrijven en kon het 8 maanden lang gegevens verzamelen. Hier komt nu dus een eind aan.
Kaspersky en Securenet wisten uiteindelijk binnen te dringen in een zogenaamde ‘Command en Control’ server. Een server waar de malware naar toe rapporteert of nieuwe orders krijgt. Hierdoor konden de bedrijven maar liefst 800 slachtoffers identificeren. Hieruit kwam naar voren dat de malware zich vooral richt op het Midden-Oosten en meer specifiek op mensen uit het bedrijfsleven die werken voor kritieke Iraanse en Israëlische infrastructuurprojecten. Ook medewerkers van Israëlische financiële instellingen, technische studenten en overheidsinstellingen uit het Midden-Oosten zijn getroffen door de malware.
Het gaat in elk geval vooral om hooggeplaatste mensen bij gevoelige bedrijven en overheden in het Midden-Oosten. Madi is zo geprogrammeerd dat het in staat is om gevoelige bestanden te stelen, communicatie via e-mail en instant messaging af te vangen en toetsaanslagen te volgen. Ook kan het audio opnemen en screenshots maken. In totaal zouden er gigabytes aan data zijn geüpload vanaf de pc’s van de slachtoffers.
Vooral diensten als Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ en Facebook worden goed in de gaten gehouden door Madi maar ook interne ERP/CRM systemen, zakelijke contracten en financiële management systemen.
Opvallend is hoe simpel deze trojan was opgezet en dat er veelvuldig gebruik is gemaakt van Perzische tekenreeksen. Zowel in de malware als in de control servers. Het ligt dan ook voor de hand dat de aanvallers deze taal beheerste.
12 uur geleden
