Kaspersky Lab y Seculert han descubierto un ataque de ciberespionaje en el medio oriente que ha estado activo durante por lo menos los últimos 8 meses.
Los analistas de seguridad bautizaron el programa malicioso con el nombre de Mahdi, en honor a un archivo llamado mahdi.txt que el programa malicioso descarga en los ordenadores infectados. La palabra Mahdi hace referencia a un mesías de la religión islámica.
El programa se está expandiendo con más fuerza por el Oriente Medio, en especial por Irán, Israel y Afganistán, pero también se han encontrado víctimas en Arabia Saudita y los Emiratos Árabes Unidos. Se han descubierto alrededor de 800 ordenadores infectados, pero puede que esta cifra siga creciendo a medida de que la investigación sobre esta amenaza avanza.
Los expertos en seguridad explicaron que Mahdi concentra sus ataques en las entidades educativas, empresas de ingeniería, agencias gubernamentales e infraestructuras críticas de las regiones afectadas.
El programa registraba todos los movimientos de los usuarios en el ordenador infectado para compartirlos con el atacante. Para ello, toma capturas de pantalla de su equipo, activa el micrófono y cámara web para grabar el entorno de su víctima y trata de robar las credenciales de acceso a sus cuentas.
Las víctimas del ataque también reciben propaganda religiosa y política, como correos electrónicos con imágenes de Jesucristo, documentos de Word que hablan sobre las pruebas de misiles, videos de explosiones nucleares y noticias sobre la lucha entre Israel e Irán.
Kaspersky estuvo analizando una muestra del programa para determinar si estaba relacionado con Flame, pero no encontró ninguna conexión directa. Tampoco pudo identificar al verdadero responsable del ataque ni definir si es un ataque gubernamental.
Seculert y Kaspersky Lab trabajaron juntos y en colaboración constante para desvelar el ataque y comprenderlo. Pero los cibercriminales no descansan. “La campaña [de malware] continúa funcionando y estamos trabajando con muchas organizaciones para limpiar y prevenir más infecciones”, dijo un portavoz de Kaspersky.
Fuentes:
Mahdi cyberespionage malware infects computers in Iran, Israel, other Middle Eastern countries PC Advisor
Mahdi Malware Hits Middle Eastern Targets Information Week
Madi malware ravages Middle East IT Pro Portal
Nueva amenaza espía ataca al Oriente Medio