Madi: campagna cyberspionaggio, spiati gli account Google+ e Facebook


I ricercatori di Kaspersky Lab annunciano i risultati di una investigazione congiunta con Seculert, società che si occupa di rilevamento delle minacce, in merito a “Madi”, la nuova campagna di spionaggio informatico che ha come obiettivo organizzazioni situate il Medio Oriente. Madi, che è stato inizialmente scoperto da Seculert, è una campagna di infiltrazione di computer di rete che agisce attraverso un trojan, che viene diffuso mediante tecniche di ingegneria sociale per colpire obiettivi selezionati.

Kaspersky Lab e Seculert hanno lavorato insieme per il sinkhole dei server Command & Control (C&C) di Madi, per il monitoraggio della campagna di spionaggio. Kaspersky Lab e Seculert hanno identificato più di 800 vittime in Iran e Israele e in altri paesi del mondo collegate ai server C&C negli ultimi 8 mesi. Le statistiche del sinkhole hanno rivelato che le vittime erano principalmente uomini d’affari che operavano in Iran e Israele e che lavoravano a particolari progetti di infrastrutture, istituzioni finanziarie israeliane, studenti di ingegneria provenienti dal Medio Oriente e agenzie governative del Medio Oriente.

Inoltre, dall’esame del malware identificato, è emerso che un insolito numero di esponenti politici e religiosi hanno cancellato documenti e immagini proprio all’inizio della diffusione del malware. “Mentre il malware e le sue infrastrutture sono più semplici rispetto ad altre, in questo caso i criminali informatici di Madi sono stati in grado di sorvegliare obiettivi di alto livello per lungo tempo”, ha dichiarato Nicolas Brulez, Senior Malware Researcher di Kaspersky Lab.

“Forse è stata proprio la sua semplicità a consentire a questo malware di eludere i controlli". “È’ interessante notare come dalla nostra analisi sono state rilevate molte ‘stringhe persiane’ in tutto il malware e negli strumenti di C&C, e questo è sicuramente singolare”, ha dichiarato Aviv Raff, Chief Technology Officer, Seculert. La maggior parte dei sistemi infettati, 387, si troverebbero in Iran.

Il Trojan Madi consente ai criminali informatici di sottrarre file sensibili dai computer Windows infettati, controllandone le comunicazioni personali come email e messaggi istantanei, registrazioni audio, dati per il login e ottenendo screenshot delle attività svolte dalle vittime. L’analisi dei dati suggerisce che grosse quantità di gigabyte di dati sono stati scaricati dai computer delle vittime. Le applicazioni e i siti che sono stati spiati comprendono gli account di Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ e Facebook.

Lo spionaggio è stato eseguito anche sui sistemi integrati di ERP/CRM, contratti aziendali e nei sistemi di gestione finanziaria. Il sistema anti-virus di Kaspersky Lab è in grado di rilevare le varianti del malware Madi insieme con i suoi moduli associati, classificati come Trojan.Win32.Madi. Per leggere il post completo della ricerca condotta dagli esperti di Kaspersky Lab, visitare http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I


Via: Securlet

Nessun commento:

Posta un commento