El malware de ciberespionaje Madi infecta a equipos en Oriente Medio

Fruto de la colaboración entre Kaspersky Lab y Seculert, se ha descubierto una nueva campaña de ciberespionaje contra Oriente Medio. El malware detectado, apodado Madi o Mhadi, ha venido actuando en los últimos ocho meses robando información y permitiendo a los ciberdelincuentes sustraer archivos confidenciales de equipos Windows infectados; controlar el correo electrónico y los mensajes instantáneos; grabar audio y pulsaciones del teclado; y realizar capturas de pantalla y de las actividades de las víctimas.

Ente las aplicaciones más comunes y sitios web espiados destacan cuentas de Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google + y Facebook. El espionaje también se llevó a cabo desde sistemas con ERP / CRM integrados, contratos empresariales y sistemas de gestión financiera.

El malware se distribuye mediante emails “gancho” que utilizan técnicas de ingeniería social básica para engañar a los receptores y llevarles a abrir archivos de PowerPoint manipulados. El instalador del malware se encuentra en estos archivos y se ejecuta si el usuario admite una alerta de seguridad de PowerPoint que les advierte de los riesgos de seguridad asociados con la descarga de objetos insertados.

Seculert descubrió el malware Madi hace varios meses mientras investigaba un email sospechoso con uno de esos documentos falsos adjunto, tal y como explica en su blog, y compartió sus hallazgos con Kasperksy Lab para determinar si Madi compartía similitudes con Flame, malware de ciberespionaje que también amenazaba a organizaciones de Irán y Oriente Medio. El nombre del malware procede de un archivo llamado mahdi.txt que se descarga en los ordenadores infectados. Según las creencias islámicas, Mahdi es una figura mesiánica que gobernará el mundo tras el Día del Juicio y lo limpiará de injusticias y maldad.

La colaboración entre ambas empresas de seguridad derivó en una operación de sinkholing (tomar el control y destruir la comunicación interna de las bots para que no llegue a su destino) del Comando y Control (C&C) de Madi para supervisar los servidores de la campaña, tras la cual se identificaron más de 800 víctimas de Irán, Israel y otros países conectados a la C&C en los últimos ocho meses.

Los datos analizados del sinkhole muestran que varios gigabytes de datos subidos desde los ordenadores de las víctimas proceden principalmente empresas que trabajan en proyectos de infraestructuras críticas iraníes e israelíes, instituciones financieras de Israel y estudiantes de ingeniería y varias agencias gubernamentales de Oriente Medio. "El malware y la infraestructura es muy básica en comparación con otros proyectos similares, pero Madi ha sido capaz de llevar a cabo una operación de vigilancia constante contra víctimas de alto perfil", afirma Nicolás Brulez, Analista Senior de Malware de Kaspersky Lab. "Tal vez el enfoque “amateur” y de aficionados ayudó a que fluyera la operación a pesar de la vigilancia y dificultar así su detección."

También se identificó una cantidad inusual de documentos e imágenes religiosas y políticas de “distracción” que fueron retiradas cuando se produjo la infección inicial. "Curiosamente, nuestro análisis conjunto reveló una gran cantidad de enlaces de origen Persa integrados en el malware y herramientas C&C, algo inusual en el código malicioso, que demuestra que los cibercriminales hablan con fluidez en este idioma ", manifiesta Aviv Raff, Director de Tecnología de Seculert.