Ponadto, podczas analizy tego szkodliwego oprogramowania zidentyfikowano nietypową ilość religijnych oraz politycznych dokumentów i obrazów “odwracających uwagę”, które zostały zamieszczone w systemach w czasie, gdy miała miejsce pierwsza infekcja.
“Chociaż w porównaniu z innymi, podobnymi projektami mamy tu do czynienia z bardzo prostym szkodliwym oprogramowaniem oraz infrastrukturą, osoby stojące za kampanią Madi zdołały przeprowadzić długotrwałą operację inwigilacyjną skierowaną przeciwko znanym celom” — powiedział Nicolas Brulez, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.
“Być może to właśnie amatorstwo i prymitywność spowodowały, że operacja zdołała ominąć radary i nie została wykryta”.
“Co ciekawe, podczas naszej wspólnej analizy odkryliśmy wiele ciągów tekstowych w języku perskim znajdujących się w szkodliwym oprogramowaniu oraz narzędziach działających na serwerach cyberprzestpców, co jest dość nietypowe. Osoby atakujące bez wątpienia posługiwały się płynnie tym językiem” — powiedział Aviv Raff, dyrektor ds. technologii, Seculert.
Wykorzystywany w kampanii Madi trojan pozwala zdalnym agresorom kraść poufne pliki z zainfekowanych komputerów działających pod kontrolą systemu Windows, monitorować poufną komunikację przesyłaną za pośrednictwem poczty e-mail i komunikatorów internetowych, nagrywać dźwięk, rejestrować uderzenia klawiszy oraz wykonywać zrzuty ekranu ofiary. Z analizy danych wynika, że z komputerów ofiar zostało skradzionych wiele gigabajtów danych.
Popularne aplikacje i strony internetowe, które szpiegowano, obejmowały konta na Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ oraz Facebooku. Inwigilacji poddano również zintegrowane systemy ERP/CRM, kontrakty biznesowe oraz systemy zarządzania finansowego.
Produkty Kaspersky Lab wykrywają warianty szkodnika Madi wraz z powiązanymi z nim modułami jako Trojan.Win32.Madi .
Wyniki badania dotyczącego kampanii Madi, przeprowadzonego przez Seculert można znaleźć na stronie http://blog.seculert.com.
