"Лаборатория Касперского" и компания Seculert
(http://www.seculert.com/)
представили результаты исследования
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I)
вредоносной программы Madi, предназначенной для
совершения целенаправленных атак на ряд пользователей в ближневосточном регионе
с целью кражи конфиденциальной информации. Для распространения троянца и
заражения компьютеров жертв использовались методы социальной
инженерии.
Эксперты "Лаборатории Касперского" и Seculert
установили контроль над серверами управления Madi за счет внедрения
sinkhole-маршрутизатора. Это позволило определить более 800 жертв, находящихся
в Иране, Израиле и ряде других стран мира, которые были подключены к командным
серверам злоумышленников в течение последних восьми месяцев. Полученные данные
позволили сделать вывод, что основной целью атак были люди, имеющие отношение к
разработке критически важных инфраструктурных проектов Ирана и Израиля,
израильским финансовым организациям, студенты инженерных специальностей, а
также различные правительственные структуры, действующие на территории Ближнего
Востока.
Кроме того, в ходе детального исследования вредоносной
программы было выявлено большое количество "отвлекающих" религиозных
и политических документов и фотографий, которые были использованы в ходе
заражения компьютеров пользователей.
"Несмотря на то, что используемая вредоносная
программа и инфраструктура преступников были далеко не самыми сложными,
злоумышленникам удалось в течение достаточно продолжительного времени вести
наблюдение за жертвами, - прокомментировал результаты исследования Николя Бруле
(Nicolas Brulez), ведущий антивирусный эксперт "Лаборатории
Касперского". - Возможно, именно из-за непрофессионализма организаторов их
атаки долгое время оставались необнаруженными".
"Стоит отметить, что в ходе нашего совместного с
"Лабораторией Касперского" расследования мы выявили множество
персидских "ниточек" как в самом троянце, так и в системе управления
им. Наличие подобной информации во вредоносном коде
- большая редкость. Нет никаких сомнений в том, что
злоумышленники владеют языком фарси на уровне носителей", - уверен Авиф
Рафф (Aviv Raff), технический директор компании Seculert.
Троянец Madi предоставляет злоумышленникам удаленный
доступ к файлам, расположенным на зараженных компьютерах, работающих под
управлением ОС Windows. Преступники получают возможность перехватывать
электронную почту и мгновенные сообщения, включать микрофон и делать
аудио-записи разговоров, следить за нажатием клавиш на клавиатуре, а также
делать скриншоты рабочего стола жертвы. По данным экспертов, объем данных,
переданных с компьютеров жертв, исчисляется
гигабайтами.
Среди приложений и Веб-сайтов, которые использовались для
слежения за жертвами, Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ и
Facebook.
Кроме того, для получения дополнительной информации были
задействованы ERP/CRM-системы, базы деловых контактов и системы управление
финансовой деятельностью.
В антивирусной базе "Лаборатории Касперского"
различные модификации троянца Madi, а также связанные с ним модули, в том числе
загрузочные, детектируются как Trojan.Win32.Madi.
Отчеты об исследовании доступны на сайтах:
"Лаборатории Касперского" www.securelist.com/en/blog
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I)
и компании Seculert blog.seculert.com (http://blog.seculert.com/).
*****
(http://www.seculert.com/)
представили результаты исследования
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I)
вредоносной программы Madi, предназначенной для
совершения целенаправленных атак на ряд пользователей в ближневосточном регионе
с целью кражи конфиденциальной информации. Для распространения троянца и
заражения компьютеров жертв использовались методы социальной
инженерии.
Эксперты "Лаборатории Касперского" и Seculert
установили контроль над серверами управления Madi за счет внедрения
sinkhole-маршрутизатора. Это позволило определить более 800 жертв, находящихся
в Иране, Израиле и ряде других стран мира, которые были подключены к командным
серверам злоумышленников в течение последних восьми месяцев. Полученные данные
позволили сделать вывод, что основной целью атак были люди, имеющие отношение к
разработке критически важных инфраструктурных проектов Ирана и Израиля,
израильским финансовым организациям, студенты инженерных специальностей, а
также различные правительственные структуры, действующие на территории Ближнего
Востока.
Кроме того, в ходе детального исследования вредоносной
программы было выявлено большое количество "отвлекающих" религиозных
и политических документов и фотографий, которые были использованы в ходе
заражения компьютеров пользователей.
"Несмотря на то, что используемая вредоносная
программа и инфраструктура преступников были далеко не самыми сложными,
злоумышленникам удалось в течение достаточно продолжительного времени вести
наблюдение за жертвами, - прокомментировал результаты исследования Николя Бруле
(Nicolas Brulez), ведущий антивирусный эксперт "Лаборатории
Касперского". - Возможно, именно из-за непрофессионализма организаторов их
атаки долгое время оставались необнаруженными".
"Стоит отметить, что в ходе нашего совместного с
"Лабораторией Касперского" расследования мы выявили множество
персидских "ниточек" как в самом троянце, так и в системе управления
им. Наличие подобной информации во вредоносном коде
- большая редкость. Нет никаких сомнений в том, что
злоумышленники владеют языком фарси на уровне носителей", - уверен Авиф
Рафф (Aviv Raff), технический директор компании Seculert.
Троянец Madi предоставляет злоумышленникам удаленный
доступ к файлам, расположенным на зараженных компьютерах, работающих под
управлением ОС Windows. Преступники получают возможность перехватывать
электронную почту и мгновенные сообщения, включать микрофон и делать
аудио-записи разговоров, следить за нажатием клавиш на клавиатуре, а также
делать скриншоты рабочего стола жертвы. По данным экспертов, объем данных,
переданных с компьютеров жертв, исчисляется
гигабайтами.
Среди приложений и Веб-сайтов, которые использовались для
слежения за жертвами, Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ и
Facebook.
Кроме того, для получения дополнительной информации были
задействованы ERP/CRM-системы, базы деловых контактов и системы управление
финансовой деятельностью.
В антивирусной базе "Лаборатории Касперского"
различные модификации троянца Madi, а также связанные с ним модули, в том числе
загрузочные, детектируются как Trojan.Win32.Madi.
Отчеты об исследовании доступны на сайтах:
"Лаборатории Касперского" www.securelist.com/en/blog
(http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I)
и компании Seculert blog.seculert.com (http://blog.seculert.com/).
*****
» Шифровальщик CryptXXX 3.0 обезвредили!
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
» 360 Total Security 8.8.0.1083 [Multi/Ru]
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
» Новый вариант трояна Kovter маскируется под обновления для Firefox
» Эксперт представил способ похищения данных через кулер компьютера