Sicherheitsforscher melden neue Funktionen in der Malware „Mahdi„, die in den verfeindeten Staaten Israel und Iran grassiert. Außerdem haben sie eine Verbindung zu „Flame“ gefunden, einem früheren Schadprogramm, das ebenfalls speziell im Iran umging.
„Vergangene Nacht ging uns eine neue Version der Malware #Madi zu. Nachdem die Kommando-Domains letzte Woche abgeschaltet wurden, glaubten wir die Operation tot. Wir hatten wohl unrecht“, schreibt Nicolas Brulez im Blog SecureList von Kaspersky Lab. Die neue Version überwache auch VKontakte sowie Jabber-Chats. Sie halte zudem besonders nach Nutzern Ausschau, die Seiten besuchen, deren Namen die Zeichenfolgen „USA“ oder „gov“ enthalten.
Brulez vermutet daher, dass sich der Fokus hin zu US-Opfern verschiebt. Besuche der Anwender eine solche US-Site, erstelle die Malware einen Screenshot und lade ihn auf den Kommandoserver C2. Die wichtigste Änderung an Mahdi sei aber, dass es gestohlene Daten jetzt selbsttätig auf dem Server einstelle, statt auf Anordnungen zu warten.
Eine Verbindung zwischen Mahdi und Flame diskutiert Seculert in seinem Blog: „Jedem Opfer weist Mahdi eine eindeutige Kennung zu, die dem Kommandoserver eine Identifikation erlaubt. Sie enthält ein Präfix – und eines dieser Präfixe lautet ‚Flame‘. Das erste Opfer mit diesem Präfix kommunizierte Anfang Juni mit dem Kommandoserver, als Kaspersky gerade erstmals öffentlich auf Flame aufmerksam gemacht hatte. Zufall? Vielleicht.“
Seculert-Gründer und CTO Aviv Raff sagte ergänzend auf der Konferenz Black Hat, die Verbindung sei unklar: „Vielleicht sind es dieselben Leute, oder beide Gruppen kommunizieren irgendwie.“ Andere vorangestellte Kennzeichnungen enthalten Namen von diversen Städten im Südosten des Iran.
Seculert hat ein Online-Werkzeug veröffentlicht, mit dem Anwender ihr Endgerät und Netzwerk auf eine Infektion mit Mahdi prüfen können.
[mit Material von Elinor Mills, News.com]
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.