Malware-Autoren erweitern „Mahdi“

Sicherheitsforscher melden neue Funktionen in der Malware „Mahdi„, die in den verfeindeten Staaten Israel und Iran grassiert. Außerdem haben sie eine Verbindung zu „Flame“ gefunden, einem früheren Schadprogramm, das ebenfalls speziell im Iran umging.

„Vergangene Nacht ging uns eine neue Version der Malware #Madi zu. Nachdem die Kommando-Domains letzte Woche abgeschaltet wurden, glaubten wir die Operation tot. Wir hatten wohl unrecht“, schreibt Nicolas Brulez im Blog SecureList von Kaspersky Lab. Die neue Version überwache auch VKontakte sowie Jabber-Chats. Sie halte zudem besonders nach Nutzern Ausschau, die Seiten besuchen, deren Namen die Zeichenfolgen „USA“ oder „gov“ enthalten.

Brulez vermutet daher, dass sich der Fokus hin zu US-Opfern verschiebt. Besuche der Anwender eine solche US-Site, erstelle die Malware einen Screenshot und lade ihn auf den Kommandoserver C2. Die wichtigste Änderung an Mahdi sei aber, dass es gestohlene Daten jetzt selbsttätig auf dem Server einstelle, statt auf Anordnungen zu warten.

Eine Verbindung zwischen Mahdi und Flame diskutiert Seculert in seinem Blog: „Jedem Opfer weist Mahdi eine eindeutige Kennung zu, die dem Kommandoserver eine Identifikation erlaubt. Sie enthält ein Präfix – und eines dieser Präfixe lautet ‚Flame‘. Das erste Opfer mit diesem Präfix kommunizierte Anfang Juni mit dem Kommandoserver, als Kaspersky gerade erstmals öffentlich auf Flame aufmerksam gemacht hatte. Zufall? Vielleicht.“

Seculert-Gründer und CTO Aviv Raff sagte ergänzend auf der Konferenz Black Hat, die Verbindung sei unklar: „Vielleicht sind es dieselben Leute, oder beide Gruppen kommunizieren irgendwie.“ Andere vorangestellte Kennzeichnungen enthalten Namen von diversen Städten im Südosten des Iran.

Seculert hat ein Online-Werkzeug veröffentlicht, mit dem Anwender ihr Endgerät und Netzwerk auf eine Infektion mit Mahdi prüfen können.

[mit Material von Elinor Mills, News.com]