Verbindung zwischen Mahdi und Flame?

Sicherheitsforscher melden neue Funktionen in der Malware “Mahdi“, die derzeit lediglich im Nahen Osten verbreitet ist. Zudem scheint es Verbindungen zu “Flame” zu geben. Dieser Schädling hatte ebenfalls vor allem Systeme im Iran zum Ziel und soll eine Schöpfung der USA und Israel sein.

“Vergangene Nacht ging uns eine neue Version der Malware #Madi zu. Nachdem die Kommando-Domains letzte Woche abgeschaltet wurden, glaubten wir die Operation tot. Wir hatten wohl unrecht”, schreibt Nicolas Brulez im Blog SecureList von Kaspersky Lab. Die neue Version überwache auch VKontakte sowie Jabber-Chats. Sie halte zudem besonders nach Nutzern Ausschau, die Seiten besuchen, deren Namen die Zeichenfolgen “USA” oder “gov” enthalten.

Brulez vermutet daher, dass sich der Fokus hin zu US-Opfern verschiebt. Besuche der Anwender eine solche US-Site, erstelle die Malware einen Screenshot und lade ihn auf einen Kommandoserver. Die wichtigste Änderung an Mahdi sei aber, dass es gestohlene Daten jetzt selbsttätig auf dem Server einstelle, statt auf Anordnungen zu warten.

Eine Verbindung zwischen Mahdi und Flame diskutiert Seculert in einem Blog: “Jedem Opfer weist Mahdi eine eindeutige Kennung zu, die dem Kommandoserver eine Identifikation erlaubt. Sie enthält ein Präfix – und eines dieser Präfixe lautet ‘Flame’. Das erste Opfer mit diesem Präfix kommunizierte Anfang Juni mit dem Kommandoserver, als Kaspersky gerade erstmals öffentlich auf Flame aufmerksam gemacht hatte. Zufall? Vielleicht.”

Seculert-Gründer und CTO Aviv Raff sagte ergänzend auf der Konferenz Black Hat, die Verbindung sei unklar: “Vielleicht sind es dieselben Leute, oder beide Gruppen kommunizieren irgendwie.” Andere vorangestellte Kennzeichnungen enthalten Namen von diversen Städten im Südosten des Iran.

Seculert hat ein Online-Werkzeug veröffentlicht, mit dem Anwender ihr Endgerät und Netzwerk auf eine Infektion mit Mahdi prüfen können.

[mit Material von Florian Kalenda, News.com]