Mahdi spia uomini d'affari e organizzazioni in Medio Oriente

I ricercatori di Kaspersky Lab annunciano i risultati di un'investigazione congiunta con Seculert, società che si occupa di rilevamento delle minacce, in merito a Mahdi, la nuova campagna di spionaggio informatico che ha come obiettivo organizzazioni situate il Medio Oriente.

Mahdi, che è stato inizialmente scoperto da Seculert, è una campagna di infiltrazione di computer di rete che agisce attraverso un trojan, che viene diffuso mediante tecniche di ingegneria sociale per colpire obiettivi selezionati.

Le due società di sicurezza informatica hanno lavorato insieme per il sinkhole dei server Command & Control (C&C) di Madi, per il monitoraggio della campagna di spionaggio, identificando più di 800 vittime in Iran e Israele e in altri paesi del mondo collegate ai server C&C negli ultimi 8 mesi.

Le statistiche del sinkhole hanno rivelato che le vittime erano principalmente uomini d'affari che operavano in Iran e Israele e che lavoravano a particolari progetti di infrastrutture, istituzioni finanziarie israeliane, studenti di ingegneria provenienti dal Medio Oriente e agenzie governative del Medio Oriente.

Inoltre, dall'esame del malware identificato, è emerso che un insolito numero di esponenti politici e religiosi hanno cancellato documenti e immagini proprio all'inizio della diffusione del malware.

"Mentre il malware e le sue infrastrutture sono più semplici rispetto ad altre, in questo caso i criminali informatici di Madi sono stati in grado di sorvegliare obiettivi di alto livello per lungo tempo", ha dichiarato Nicolas Brulez, ricercatore di Kaspersky Lab. "Forse è stata proprio la sua semplicità a consentire a questo malware a eludere i controlli".

"È interessante notare come dalla nostra analisi sono state rilevate molte stringhe persiane in tutto il malware e negli strumenti di C&C, e questo è sicuramente singolare", ha dichiarato Aviv Raff di Seculert.

Il Trojan Madi consente ai criminali informatici di sottrarre file sensibili dai computer Windows infettati, controllandone le comunicazioni personali come email e messaggi istantanei, registrazioni audio, dati per il login e ottenendo screenshot delle attività svolte dalle vittime.

L'analisi dei dati suggerisce che grosse quantità di gigabyte di dati sono stati scaricati dai computer delle vittime. Le applicazioni e i siti che sono stati spiati comprendono gli account di Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ e Facebook.

Lo spionaggio è stato eseguito anche sui sistemi integrati di ERP/CRM, contratti aziendali e nei sistemi di gestione finanziaria.