Neuer Trojaner „Mahdi“ verbreitet sich in Iran und Israel

Mehrere Sicherheitsunternehmen haben auf einen Trojaner hingewiesen, der ähnlich wie Stuxnet und Flame vor allem im Nahen Osten sein Unwesen treibt. Die als „Mahdi“ bezeichnete Malware enthält Zeichenketten in Farsi und Daten im persischen Kalenderformat, wie der israelische Sicherheitsanbieter Seculert in seinem Blog schreibt. Mahdi steht im Islam für den Erlöser, der kurz vor dem jüngsten Tag die Erde von allem Übel befreit.

Seit rund acht Monaten sammle die Malware bei Infrastrukturunternehmen, israelischen Finanzinstitutionen, Botschaften, Maschinenbaustudenten und weiteren Personen Informationen, so Seculert. Fünf Staaten im Nahen Osten seien betroffen, vor allem der Iran.

Mahdi liest laut Seculert Mails mit und schneidet Audiospuren sowie Textnachrichten mit. Zudem fertigt die Malware Screenshots an und kopiert Dateien, um sie anschließend an Kommando- und Kontrollserver (C&C-Server) zu senden. In den vergangenen Monaten soll der Schädling mehrere Gigabyte Daten gesammelt haben.

„Es ist noch nicht klar, ob ein Staat hinter dieser Attacke steht oder nicht“, heißt es im Seculert-Blog. Jeder angegriffene Rechner bekomme ein eigenes Präfix. Daraus schließen die Sicherheitsexperten, dass möglicherweise ein potenter Geldgeber hinter der Attacke steht. Unklar sei bislang auch, was mit diesen teilweise recht umfangreichen Dossiers, die über die Malware generiert wurden, geschehen soll. Schließlich sei kein direkter Zusammenhang zwischen den einzelnen Opfern auszumachen.

Über ein Sinkhole und die eigene cloudbasierte Technologie konnte Seculert nach eigenen Angaben zeigen, dass etwa 800 betroffene Rechner mit insgesamt vier C&C-Servern kommunizieren. Derzeit versuche man zusammen mit Kaspersky Labs herauszufinden, ob es zwischen Mahdi und dem im Mai entdeckten Schädling Flame einen Zusammenhang gibt. Aktuell gebe es darauf jedoch keine Hinweise.

Auch Kasperky informiert in seinem Blog über den neuen Schädling. Mahdi verbreite sich über eine relativ einfach gestrickte Spearhead-Attacke. Der Trojaner tarne sich als eine PowerPoint-Präsentation mit scheinbar religiösen Inhalten. Das sei zwar eine vergleichsweise primitive Methode, doch offenbar nach wie vor sehr effektiv, so Kaspersky. Über eine Funktion in PowerPoint werde schließlich ein Backdoor-Trojaner geladen. Der sei in Delphi geschrieben, was laut dem russischen Sicherheitsanbieter entweder auf eine schnelle Umsetzung des Projekts hinweist, oder auf einen geringen Kenntnisstand der Autoren.

[mit Material von Martin Schindler, silicon.de]