Експерти «Лабораторії Касперського» виявили нову версію троянця Madi, що володіє розширеним функціоналом, метою якої можливо є Росія та США. Про це УНІАН повідомили в прес-службі компанії «Лабораторії Касперського».
Як відзначили в компанії, незважаючи на відключення командних серверів шкідливої програми Madi, призначеної для здійснення цілеспрямованих атак на користувачів в близькосхідному регіоні і крадіжки у них конфіденційних даних, її історія поки не закінчена. Експерти «Лабораторії Касперського» виявили нову версію троянця, що володіє розширеним функціоналом. Зокрема вона стежить за сайтом VKontakte, а також шукає відвідувачів сторінок, що містять у назві елементи «USA» і «gov», що може говорити про переорієнтацію зловмисників на Росію і США.
Одним із важливих змін також є те, що тепер шкідлива програма не очікує «команд» від сервера управління, а відразу завантажує на нього всі вкрадені дані. Попередні версії Madi управлялися з Ірану і Канади. Новий командний сервер троянця також знаходиться в Канаді.
Експерти «Лабораторії Касперського» провели детальний технічний аналіз Madi, в якому детально описали функціонал троянця, механізм його установки, перехоплення натискання клавіш, взаємодії з командними серверами, крадіжки даних, моніторингу комунікацій, записи аудіо-файлів і зняття скріншотів з робочого слота жертви. Зокрема з'ясувалося, що незважаючи на простоту самої шкідливої програми, а також використовуваних методів соціальної інженерії, зловмисникам вдалося заразити комп'ютери більше 800 жертв, у тому числі тих, що володіють конфіденційною інформацією. Madi є яскравим прикладом того, як легковажне ставлення користувачів до отримуваних повідомлень може призвести до втрати важливих даних. Під час проведення атаки не були використані ні експлойти, ні уразливості нульового дня, що зробило її результати ще більш несподіваними для експертів.
Як повідомляв УНІАН, троянець Madi надає зловмисникам віддалений доступ до файлів, розташованих на заражених комп'ютерах, що працюють під управлінням ОС Windows. Злочинці отримують можливість перехоплювати електронну пошту та миттєві повідомлення, включати мікрофон і робити аудіо-записи розмов, стежити за натисканням клавіш на клавіатурі, а також робити скріншоти робочого столу жертви. За даними експертів, обсяг даних, переданих з комп'ютерів жертв, обчислюється гігабайтами. Для поширення троянця і зараження комп'ютерів жертв використовувалися методи соціальної інженерії.
Експерти «Лабораторії Касперського» та ізраїльської компанії Seculert встановили контроль над серверами управління Madi за рахунок впровадження sinkhole-маршрутизатора. Це дозволило визначити більше 800 жертв, що знаходяться в Ірані, Ізраїлі та ряді інших країн світу, які були підключені до командних серверів зловмисників протягом останніх восьми місяців. Отримані дані дозволили зробити висновок, що основною метою атак були люди, що мають відношення до розробки критично важливих інфраструктурних проектів Ірану та Ізраїлю, ізраїльських фінансових організацій, студенти інженерних спеціальностей, а також різні урядові структури, що діють на території Близького Сходу.
Крім того, під час детального дослідження шкідливої програми було виявлено велику кількість «відволікаючих» релігійних і політичних документів і фотографій, які були використані під час зараження комп'ютерів користувачів.
Довідка УНІАН. «Лабораторія Касперського» - найбільший в Європі виробник систем захисту від шкідливого і небажаного ПЗ, хакерських атак і спаму. За підсумками 2011 року виручка перевищила 612 млн доларів США.
