Mahdi

Um surto de malware em larga escala no Oriente Médio foi identificado como Mahdi (a palavra árabe para Messiah). Mahdi pode estar relacionado ao infame surto de chama dos últimos meses, embora um elo concreto ainda esteja para ser identificado. O Mahdi geralmente é entregue por meio de mensagens de email mal-intencionadas contendo documentos do PowerPoint ou do Word que exploram vulnerabilidades conhecidas para instalar um Trojan conta-gotas no sistema de computador da vítima. Esses tipos de anexos de arquivos mal-intencionados são especialmente enganosos, pois a abertura deles exibirá um fac-símile convincente do suposto conteúdo do anexo enquanto a infecção ocorre em segundo plano. Por exemplo, os analistas de malware do ESG observaram um anexo de e-mail com Mahdi que realmente exibe fotografias de paisagens e outro que se vincula a um artigo real publicado recentemente em uma revista.

Um fato suspeito sobre o Mahdi é que muitas seqüências de caracteres em seu código são escritas inteiramente em persa, principalmente faladas no Afeganistão e no Irã. Os pesquisadores de malware também observaram que a maioria dos sistemas de computadores infectados pertence a importantes instituições governamentais, entidades de infraestrutura, empresas de serviços financeiros e outras entidades importantes para o funcionamento normal de uma nação. Os sistemas de computadores afetados estão concentrados principalmente no Irã, mas as infecções por Mahdi também foram detectadas em outros países do Oriente Médio, incluindo Afeganistão, Israel, Arábia Saudita e Emirados Árabes Unidos. Embora Mahdi não tenha chegado nem perto da complexidade de Flame, que é suspeita de ter sido criada pelo governo dos Estados Unidos, ou das qualidades devastadoras de Stuxnet, o infame e complexo verme usado para atacar as usinas nucleares do Irã, há suspeitas de que Mahdi tenha sido desenvolvido. com apoio do governo para ajudar nas atividades de espionagem e guerra cibernética. Os ataques em larga escala de Mahdi envolveriam necessariamente um forte apoio financeiro de um rico patrocinador, pelo menos.

Efeitos de uma Infecção pelo Mahdi

A principal carga útil do Mahdi parece ser um componente de keylogger que permite ao Mahdi rastrear pressionamentos de teclas, isolar e salvar senhas, tirar capturas de tela, roubar todos os tipos de documentos e executar outros sintomas comuns de Trojan no computador infectado. O Mahdi se conectará a um servidor de comando e controle e inclui um identificador para a instituição alvo em suas comunicações. Esse identificador permitiu que os pesquisadores de segurança de PCs determinassem que dezenas de pessoas estão envolvidas no que poderia ser uma operação de espionagem em larga escala. Os ataques de Mahdi estão em andamento desde dezembro, mas podem ter sido amplamente detectados por vários motivos. Seu servidor de comando e controle estava originalmente no Irã e atualmente está no Canadá.