Mahdi Cyberespionage Malware infecta computadoras en Irán, Israel, otros países de Medio Oriente

Se utilizó un malware llamado Mahdi o Madi para espiar cientos de blancos de Irán, Israel y algunos otros países de Medio Oriente durante los últimos ocho meses, según investigadores de los proveedores de seguridad Seculert y Kaspersky Lab.

Mahdi es capaz de registrar pulsaciones de teclas, tomar capturas de pantalla a intervalos específicos, grabar audio y robar una variedad de documentos, imágenes, archivos y otros archivos, dijeron investigadores de Kaspersky Lab en una publicación de blog el martes.

Su nombre proviene de un archivo llamado mahdi.txt que se coloca en las computadoras infectadas. Según las creencias islámicas, Mahdi es una figura mesiánica que gobernará el mundo antes del Día del Juicio Final y lo limpiará de injusticia e injusticia.

[Leer más: Cómo eliminar el malware de tu PC con Windows]

Seculert descubrió el Mahdi Varios investigadores de la compañía dijeron el martes en una publicación de blog.

La compañía compartió sus hallazgos con Kaspersky Lab para determinar si Mahdi comparte alguna similitud con Flame. amenaza de ciberespionaje altamente sofisticada que también se dirigió a organizaciones de Irán y Oriente Medio.

Las dos compañías trabajaron juntas para redirigir el tráfico de malware a un servidor bajo su control, una operación llamada sumidero, y analizarlo. Esto les permitió identificar más de 800 víctimas, la mayoría de ellas ubicadas en Irán e Israel.

"Grandes cantidades de recopilación de datos revelan el enfoque de la campaña en firmas de ingeniería de infraestructura crítica de Medio Oriente, agencias gubernamentales, casas financieras y académicos, "dijeron los investigadores de Kaspersky. "Las personas dentro de este grupo de víctimas y sus comunicaciones fueron seleccionadas para una mayor supervisión durante períodos prolongados".

El malware Mahdi se distribuye a través de correos electrónicos fraudulentos que utilizan técnicas básicas de ingeniería social para engañar a los destinatarios y abrirlos.

El instalador de malware está incrustado dentro de estos archivos y se ejecuta si los usuarios aceptan una advertencia de seguridad de PowerPoint alertándolos sobre los riesgos de seguridad asociados con la carga de objetos REPLACEados.

No está claro si se trata de un ataque patrocinado por el estado, la tecnología principal de Seculert el oficial Aviv Raff dijo el martes por correo electrónico. El malware Mahdi no se encuentra entre las amenazas más complejas de ciberespionaje jamás encontradas y, de hecho, parece haber sido escrito apresuradamente, dijo.

Sin embargo, "las entidades objetivo están diseminadas dentro de los miembros del grupo de ataque, que "Esta campaña de ataque se implementó con una tecnología limitada y rudimentaria", dijo Costin Raiu, director del equipo de análisis e investigación global de Kaspersky Lab. Según la complejidad, el ataque Mahdi sería más bajo que los recientes ataques contra activistas tibetanos y uigures, dijo Raiu. Al menos esas campañas usan algún tipo de exploits de software para instalar malware ciberespionaje, mientras que los atacantes Mahdi confían únicamente en ingeniería social, dijo.

Las muestras Mahdi analizadas por Seculert y Kaspersky intentaron comunicarse con cuatro servidores de comando y control diferentes. - tres de ellos ubicados en Canadá y uno en la capital iraní, Teherán.

Aún no hay una prueba definitiva del origen del malware. Sin embargo, la presencia de un servidor de comando y control en Teherán podría sugerir que los atacantes son iraníes, especialmente dado que otras pistas encontradas en el malware indican que son fluidas en farsi y usan fechas en el formato de calendario persa, dijo Raff.

El hecho de que estos atacantes lograron infectar a cientos de objetivos a pesar de la simplicidad de las técnicas utilizadas es un poco desconcertante, dijo Raiu. Todos los productos antivirus serios deberían poder atrapar y bloquear este malware, dijo.

Probablemente significa que las víctimas no estaban usando los productos de seguridad adecuados, dijo Raff. "Como el ataque todavía está activo, el número [de víctimas] probablemente aumentará".