A operação foi batizada de “Madi”. O malware permite que os criminosos roubem arquivos dos computadores infectados e monitorem e-mails e mensagens instantâneas, além de permitir a gravação de áudio, registro de teclas digitadas e acesso às imagens nos computadores infectados.
O nome da ameaça vem do árabe Mahdī ou Mehdi, que seria o redentor profetizado do Islã que permanecerá na Terra por sete, nove ou 19 anos (de acordo com as diferentes interpretações) antes da chegada do dia final. Os muçulmanos acreditam que o Madi, assim como como Jesus, livrará o mundo do erro, da injustiça e da tirania.
O malware chega aos alvos através de um arquivo de slides do PowerPoint, que faz o download dos drivers do trojan Madi que, por sua vez, instalam arquivos para a limpeza dos sistemas e abrem as portas do PC infectado para acesso remoto. Embora a apresentação exiba caixas de diálogo aos usuários, nem todo mundo presta atenção nesses avisos e a cada clique o código malicioso é executado, como um conta-gotas.
Com o anúncio do malware Flame, realizado pela Kaspersky Lab em maio, a Seculert entrou em contato com a empresa para investigar possíveis semelhanças entre o Flame e o Madi. Nas semanas que se seguiram, a Kaspersky monitorou os efeitos do trojan nos terminais infectados e a Seculert analisou as comunicações entre o malware e os servidores de comando e controle. A partir daí, as empresas conseguiram identificar mais de 800 vítimas em um período de oito meses.
Ainda não está claro se este é outro ataque patrocinado por um Estado. Em alguns casos, as organizações atacadas não forneceram informações sobre o ataque, sendo assim, alguns aspectos do Madi ainda são desconhecidos. A Kaspersky Lab e a Seculert continuarão monitorando a evolução do ataque.
Nenhum comentário:
Postar um comentário