El retorno de Madi – Nuevos trucos y un nuevo servidor de comando y control

Anoche detectamos una nueva versión del programa malicioso #Madi, al cual ya nos habíamos referido en nuestro blog.

Tras el cierre de los servidores de comando y control de Madi la pasada semana, pensamos que sus operaciones habían concluido. Pero parece que estábamos equivocados.

Parece que la nueva versión se compiló el 25 de julio como se desprende de su encabezado:

Contiene muchas mejoras interesantes y nuevas funciones. Ahora tiene la habilidad de monitorear VKontakte y las conversaciones con Jabber. También busca a los usuarios que visitan páginas que contengan “USA” y “gov” en sus nombres. En estos casos, el programa malicioso realiza capturas de pantalla y las envía al C2.
A continuación ofrecemos una lista completa de las palabras clave monitoreadas:

“gmail”, “hotmail”, “yahoo! mail” , “google+”, “msn messenger”, “blogger”, “massenger”, “profile”, “icq” , “paltalk”, “yahoo! messenger for the web”,”skype”, “facebook” ,”imo”, “meebo”, “state” , “usa” , “u.s”,”contact” ,”chat” ,”gov”,”aol”,”hush”,”live”,”oovoo”,”aim”,”msn”,”talk”,”steam”,”vkontakte”,”hyves”, “myspace”,”jabber”,”share”,”outlook”,”lotus”,”career”

En comparación con las variantes previas, hay una serie de cambios. Por ejemplo, al ejecutarse, la nueva versión crea un MUTEX llamado ‘miMutexCopy Mohammad Etedali “www.irandelphi.ir”’ que descarga un archivo llamado datikal.dll que contiene la fecha actual. También verifica si poki65.pik se encuentra en la carpeta, que es el archivo keylogger. El código keylogger es idéntico a las versiones anteriores, pero la función Hook es un tanto diferente: el código se fusionó desde diferentes subrutinas en un solo procedimiento.

Quizás el cambio más importante sea que infostealer ya no espera los “comandos” desde C2, sino que sencillamente descarga de inmediato todos los datos robados en el servidor.
El nuevo servidor de comando y control se encuentra en Montreal, Canadá. Los anteriores Madi C2 también se encontraban en Canadá y en Teherán.

Al momento de escribir este artículo, el nuevo servidor de comando y control parece estar funcionando, pero no tiene todos los scripts de los servidores anteriores. Sin embargo, la página que se usa para drenar los datos (con la ayuda de “sik.php”) sí funciona muy bien:

En resumen, lo que descubrimos hoy indica que la campaña Madi sigue vigente y que sus dueños están concentrados en sacar nuevas versiones con mejoras en su funcionalidad y con nuevos trucos. Los controles adicionales de “USA” y “gov” pueden ser el indicio de un cambio de objetivos desde Israel a EE.UU.

Actualización:

El mencionado Mutex: *miMutexCopy Mohammad Etedali www.irandelphi.ir* se creó para saber si el archivo se está ejecutando o no. Si el Mutex ya está presente, el proceso termina.

Cuando se ejecuta por primera vez, Madi verifica si está presente un archivo llamado “datikal.dll”, y crea uno si no existe aún. Se completa con la fecha actual: año/mes/día

Una vez escrito, salta a la rutina de verificación del Mutex, y concluye el proceso a medida que se ejecuta el archivo.

En las siguientes ejecuciones, compara la fecha actual con la que figura en “datikal.dll”. Si la diferencia es menor a 2 días, termina el infostealer.
Madi permanece en silencio durante 2 días antes de iniciar sus actividades.
De los 52 temporizadores en las primeras versiones, sólo quedan 12.
La mayor parte del código se ha copiado y pegado de una versión anterior de Madi.

Cambios:

• Madi ya no se conecta con el servidor de comando y control para recibir instrucciones.
• La función de monitoreo (comando PIK en la versión previa) se activa por defecto y la lista de palabras claves es mucho más extensa.
• El archivo de registro del keylogger está listo para enviarse y es de 7KB (y no de 15 KB como en versiones anteriores).