Computers in het hele Midden-Oosten worden geïnfecteerd door malware die onderdeel lijkt te zijn van een surveillancecampagne die de activiteit van gebruikers zowel op als, verrassend genoeg, buiten de computer registreert naar rapporten.
De malware, genaamd “Mahdi” – ook bekend als Madi, en vernoemd naar de Islamitisch concept van “de geprofeteerde verlosser van de islam die zeven, negen of negentien jaar zal regeren (volgens naar verschillende interpretaties) vóór de Dag des Oordeels… en zal de wereld verlossen van wangedrag, onrecht en tirannie" - was eerder deze week ontdekt op machines in de hele regioEr wordt aangenomen dat het slechts een onderdeel is van een voortdurende aanval op computers in het Midden-Oosten en Azië. “We hebben verschillende versies van de malware geanalyseerd [en] anticiperen op de komst van andere versies, aangezien de aanval nog steeds actief is,” legt Aviv Raff uit, het hoofdtechnologiebureau van cyberbeveiligingsbedrijf Seculert, waarvan het bedrijf dacht dat het in eerste instantie had ontdekt malware.
Aanbevolen video's
Volgens analyse van Kapersky Labs, Mahdi werkt al een hele tijd onopgemerkt. “Al bijna een jaar lang heeft een voortdurende campagne om computersystemen in het hele Midden-Oosten te infiltreren zich op individuen gericht Iran, Israël, Afghanistan en anderen verspreid over de hele wereld”, opent de analyse, en suggereert vervolgens dat het land al veroverd heeft “grote hoeveelheden gegevens” van “technische formulieren voor kritieke infrastructuur uit het Midden-Oosten, overheidsinstanties, financiële instellingen en academische wereld.”
Er wordt aangenomen dat de malware computers infecteert via een PowerPoint-bestand dat als e-mailbijlage wordt verzonden, hoewel de malware zichzelf naar verluidt ook installeert via afbeeldingen die zijn vermomd als tekstbestanden. In een e-mail aan Talking Points Memo, legde een Kaspersky-analist uit dat de malware leek te zijn gemaakt met als doel “het langdurig ophalen van gegevens en het op grote schaal monitoren van een regionale, selecte groep van sectoren, organisaties, individuen en gebeurtenissen in het Midden-Oosten”, met name “zakenmensen die werken aan kritieke infrastructuurprojecten, overheidsinstanties in het Midden-Oosten” Oost-Israëlische banken, ingenieurs-/hightechbedrijven en ingenieursstudenten.” Er wordt aangenomen dat de software niet alleen toetsaanslagen registreert, maar ook op allerlei manieren rondsnuffelt manieren. Volgens het Kaspersky-rapport doet Mahdi het volgende:
- Registreert toetsaanslagen
- Maakt met bepaalde tussenpozen schermafbeeldingen van geïnfecteerde computers
- Maakt screenshots van geïnfecteerde computers wanneer de gebruiker een ‘communicatiegebeurtenis’ start, door Kaspersky beschreven als ‘het slachtoffer is interactie met webmail, een IM-client of sociale netwerksite”, met sites die de schermafbeeldingen initiëren, waaronder Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+, Facebook en anderen
- Achterdeur bijwerken
- Externe audio opnemen en uploaden als .wav-bestanden
- Ophalen van “elke combinatie van 27 verschillende soorten gegevensbestanden”
- Schijfstructuren van de geïnfecteerde computer ophalen
- Verwijderen en binden (“Deze zijn nog niet volledig geïmplementeerd”, merkt Kaspersky op)
Tot nu toe is Mahdi op minstens 800 machines ontdekt. Zowel Kaspersky als Seculert verwachten dat dit aantal zal toenemen naarmate er meer releases van de malware plaatsvinden.
Aanbevelingen van de redactie
- Naar verluidt zijn 415.000 routers wereldwijd geïnfecteerd met cryptojacking-malware
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
