Hauptziele von Mahdi sind laut Seculert der Iran und Israel (Bild: Seculert).
Mehrere Sicherheitsunternehmen haben auf einen Trojaner hingewiesen, der ähnlich wie Stuxnet und Flame vor allem im Nahen Osten sein Unwesen treibt. Die als „Mahdi“ bezeichnete Malware enthält Zeichenketten in Farsi und Daten im persischen Kalenderformat, wie der israelische Sicherheitsanbieter Seculert in seinem Blog schreibt. Mahdi steht im Islam für den Erlöser, der kurz vor dem jüngsten Tag die Erde von allem Übel befreit.
Seit rund acht Monaten sammle die Malware bei Infrastrukturunternehmen, israelischen Finanzinstitutionen, Botschaften, Maschinenbaustudenten und weiteren Personen Informationen, so Seculert. Fünf Staaten im Nahen Osten seien betroffen, vor allem der Iran.
Mahdi liest laut Seculert Mails mit und schneidet Audiospuren sowie Textnachrichten mit. Zudem fertigt die Malware Screenshots an und kopiert Dateien, um sie anschließend an Kommando- und Kontrollserver (C&C-Server) zu senden. In den vergangenen Monaten soll der Schädling mehrere Gigabyte Daten gesammelt haben.
„Es ist noch nicht klar, ob ein Staat hinter dieser Attacke steht oder nicht“, heißt es im Seculert-Blog. Jeder angegriffene Rechner bekomme ein eigenes Präfix. Daraus schließen die Sicherheitsexperten, dass möglicherweise ein potenter Geldgeber hinter der Attacke steht. Unklar sei bislang auch, was mit diesen teilweise recht umfangreichen Dossiers, die über die Malware generiert wurden, geschehen soll. Schließlich sei kein direkter Zusammenhang zwischen den einzelnen Opfern auszumachen.
Über ein Sinkhole und die eigene cloudbasierte Technologie konnte Seculert nach eigenen Angaben zeigen, dass etwa 800 betroffene Rechner mit insgesamt vier C&C-Servern kommunizieren. Derzeit versuche man zusammen mit Kaspersky Labs herauszufinden, ob es zwischen Mahdi und dem im Mai entdeckten Schädling Flame einen Zusammenhang gibt. Aktuell gebe es darauf jedoch keine Hinweise.
Auch Kasperky informiert in seinem Blog über den neuen Schädling. Mahdi verbreite sich über eine relativ einfach gestrickte Spearhead-Attacke. Der Trojaner tarne sich als eine PowerPoint-Präsentation mit scheinbar religiösen Inhalten. Das sei zwar eine vergleichsweise primitive Methode, doch offenbar nach wie vor sehr effektiv, so Kaspersky. Über eine Funktion in PowerPoint werde schließlich ein Backdoor-Trojaner geladen. Der sei in Delphi geschrieben, was laut dem russischen Sicherheitsanbieter entweder auf eine schnelle Umsetzung des Projekts hinweist, oder auf einen geringen Kenntnisstand der Autoren.
[mit Material von Martin Schindler, silicon.de]
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
