#Mahdi: nueva campaña de ciberespionaje en Oriente Medio
Ya se han identificado más de 800 víctimas de este troyano en Irán, Israel y algunos países del resto del mundo. Ente las aplicaciones más comunes y sitios web espiados destacan cuentas de Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+, y Facebook. El espionaje también se llevó a cabo desde sistemas con ERP / CRM integrados, contratos empresariales y sistemas de gestión financiera.
Kaspersky Lab y Seculert anuncian el resultado de una investigación conjunta en la que se ha descubierto "Mahdi", una nueva campaña de ciberespionaje activa dirigida a Oriente Medio. Originalmente descubierta por Seculert, Mahdi es una campaña de infiltración a través de un troyano malicioso que se extiende por ingeniería social a objetivos cuidadosamente seleccionados.
Todos los sistemas comprometidos se comunican a través de canales HTTP en las siguientes IP: 174.142.57.* (3 servidores) y 67.205.106.* (un servidor).
Las emprsas trabajaron juntos en la operación de sinkholing (tomar el control y destruir la comunicación interna de las bots para que no llegue a su destino) del Comando y Control (C&C) de Mahdi para supervisar los servidores de la campaña. Kaspersky Lab y Seculert identificaron más de 800 víctimas localizadas en Irán, Israel y algunos países del resto del mundo conectados a la C&C en los últimos ocho meses.
Los datos analizados del sinkhole muestran que varios gigabytes de datos que se subieron desde los ordenadores de las víctimas proceden principalmente empresas que trabajan en proyectos de infraestructuras críticas iraníes e israelíes, instituciones financieras de Israel y estudiantes de ingeniería y varias agencias gubernamentales de Oriente Medio.
Además, el análisis del malware ha identificado una cantidad inusual de documentos e imágenes religiosas y políticas de “distracción” que fueron retiradas cuando se produjo la infección inicial.
El malware y la infraestructura es muy básica en comparación con otros proyectos similares, pero Mahdi ha sido capaz de llevar a cabo una operación de vigilancia constante contra víctimas de alto perfil", afirma Nicolás Brulez, Analista Senior de Malware de Kaspersky Lab. "Tal vez el enfoque “amateur” y de aficionados ayudó a que fluyera la operación a pesar de la vigilancia y dificultar así su detección."
"Curiosamente, nuestro análisis conjunto reveló una gran cantidad de enlaces de origen Persa integrados en el malware y herramientas C&C, algo inusual en el código malicioso, que demuestra que los cibercriminales hablan con fluidez en este idioma", manifiesta Aviv Raff, Director de Tecnología de Seculert.
El troyano Mahdi roba información y permite a ciberdelincuentes sustraer los archivos confidenciales de los ordenadores Windows infectados, controlar las comunicaciones sensibles, como correo electrónico y mensajes instantáneos, grabar audio, pulsaciones del teclado, realizar capturas de pantalla y de las actividades de las víctimas.
Fuente: Kaspersky y Seculert
Kaspersky Lab y Seculert anuncian el resultado de una investigación conjunta en la que se ha descubierto "Mahdi", una nueva campaña de ciberespionaje activa dirigida a Oriente Medio. Originalmente descubierta por Seculert, Mahdi es una campaña de infiltración a través de un troyano malicioso que se extiende por ingeniería social a objetivos cuidadosamente seleccionados.
Todos los sistemas comprometidos se comunican a través de canales HTTP en las siguientes IP: 174.142.57.* (3 servidores) y 67.205.106.* (un servidor).
Los datos analizados del sinkhole muestran que varios gigabytes de datos que se subieron desde los ordenadores de las víctimas proceden principalmente empresas que trabajan en proyectos de infraestructuras críticas iraníes e israelíes, instituciones financieras de Israel y estudiantes de ingeniería y varias agencias gubernamentales de Oriente Medio.
Además, el análisis del malware ha identificado una cantidad inusual de documentos e imágenes religiosas y políticas de “distracción” que fueron retiradas cuando se produjo la infección inicial.
El malware y la infraestructura es muy básica en comparación con otros proyectos similares, pero Mahdi ha sido capaz de llevar a cabo una operación de vigilancia constante contra víctimas de alto perfil", afirma Nicolás Brulez, Analista Senior de Malware de Kaspersky Lab. "Tal vez el enfoque “amateur” y de aficionados ayudó a que fluyera la operación a pesar de la vigilancia y dificultar así su detección."
"Curiosamente, nuestro análisis conjunto reveló una gran cantidad de enlaces de origen Persa integrados en el malware y herramientas C&C, algo inusual en el código malicioso, que demuestra que los cibercriminales hablan con fluidez en este idioma", manifiesta Aviv Raff, Director de Tecnología de Seculert.
El troyano Mahdi roba información y permite a ciberdelincuentes sustraer los archivos confidenciales de los ordenadores Windows infectados, controlar las comunicaciones sensibles, como correo electrónico y mensajes instantáneos, grabar audio, pulsaciones del teclado, realizar capturas de pantalla y de las actividades de las víctimas.
Fuente: Kaspersky y Seculert
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!