Hauptziele von Mahdi sind laut Seculert der Iran und Israel (Bild: Seculert).
Es ist auch die erste Malware, die auch Komponenten in Farsi und Persisch enthält. Seit rund acht Monaten sammle diese Malware bei Infrastrukturunternehmen, israelischen Finanzinstitutionen, Botschaften, Maschinenbaustudenten und weiteren Personen Informationen. Vor allem der Iran sei betroffen, wie das israelische Sicherheitsunternehmen Seculert mitteilt. Aber auch vier weitere Staaten im nahen Osten seien von der Attacke betroffen.
Mahdi liest laut Seculert Mails mit, schneidet Audio-Spuren mit und lauscht bei Textnachrichten, auch Dateien kopiert die Schadsoftware und sendet sie an einen C&C-Server (Control and Command). Der Schädling soll mehrere Gigabyte Daten gesammelt haben.
“Es ist noch nicht klar, ob ein Staat hinter dieser Attacke steht oder nicht”, heißt es im Seculert-Blog. Jeder angegriffene Rechner bekomme ein eigenes Präfix. Daraus schließen die Sicherheitsexperten, dass möglicherweise ein potenter Geldgeber hinter der Attacke steht. Unklar sei bislang auch, was mit diesen teilweise recht umfangreichen Dossiers, die über die Malware generiert wurden, geschehen soll. Schließlich habe der Anbieter einer Cloud-Sicherheitslösung keine direkten Zusammenhänge zwischen den einzelnen Opfern ausmachen können.
Über ein Sinkhole und die eigene Cloud-basierte Technologie, hätte Seculert zeigen können, dass etwa 800 betroffene Rechner mit insgesamt vier C&C-Server kommunizierten. Seculert versucht derzeit zusammen mit Kaspersky Labs herauszufinden, ob es zwischen Mahdi und dem im Mai entdeckten Flame-Schädling einen Zusammenhang gibt. Derzeit scheint es dafür jedoch keine Hinweise zu geben.
Auch Kasperky informiert in einem Blog über diesen Schädling. Mahdi verbreite sich über ein relativ einfach gestrickte Spearhead-Attake. Der Trojaner tarne sich demnach als eine Power-Point-Präsentation mit scheinbar religiösen Inhalten. Das sei zwar eine vergleichsweise primitive Methode, doch offenbar nach wie vor sehr effektiv, wie es von Kaspersky heißt. Über eine Funktion in PowerPoint werde schließlich ein Backdoor-Trojaner geladen. Der sei in Delphi geschrieben, was laut Kaspersky entweder auf eine schnelle Umsetzung des Projektes hinweist, oder auf niedrigen Kenntnisstand der Autoren.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.