“” “” EL VIRUS ‘MAHDI’ ACTÚA COMO EL PRIMO NO SOFISTICADO DE LA LLAMA
Un nuevo ataque de pirateo ha desviado documentos y pulsaciones de teclas de víctimas en todo el mundo utilizando métodos rudimentarios y a veces obvios, dicen varios investigadores en informática. El objetivo – espiar – refleja el del virus Flame recientemente descubierto, una supuesta herramienta estadounidense-israelí que recopiló muchos datos en el Medio Oriente durante años.
Pero los investigadores no pudieron encontrar ningún otro vínculo entre el nuevo virus, “Mahdi”, y Flame.
- ¿Sería peligroso para un ciberdelincuente hacer amistad con alguien que trabaja en seguridad cibernética?
- Cómo comenzar mi carrera en seguridad de redes
- ¿Cómo ocurren los Zero-Days (pirateo informático)?
- Cómo eliminar un virus del sector de arranque
- ¿Google Duo proporciona cifrado de extremo a extremo de forma predeterminada?
No está claro si un estado nación está detrás de Mahdi, un nombre para el mesías islámico. Está claro que los asaltantes se aprovecharon de las personas que fallaron en Safe Web Surfing 101. A diferencia de la infección Flame, que se inserta sigilosamente, el software malicioso de Mahdi se inyecta haciendo clic en archivos adjuntos de aspecto sospechoso.
“El código del malware es diferente, así como la forma en que se comunica con los servidores de comando y control”, dijo a Nextgov Aviv Raff, director de tecnología de Seculert, una firma de ciberseguridad con sede en Israel. Seculert y Kaspersky Lab, que descubrieron a Flame, se atribuyeron el martes por la mañana la identificación de Mahdi, que deriva su apodo de los nombres de archivo utilizados por el virus. Algunas de las comunicaciones entre los servidores y el malware incluyen cadenas en farsi y fechas en el calendario persa.
Más tarde el martes, Symantec sugirió que Mahdi es el trabajo de un hacker desconocido de habla farsi con una amplia agenda.
El ataque de casi un año se ha dirigido a compañías de infraestructura crítica, empresas de servicios financieros y embajadas gubernamentales en Irán, Israel, Afganistán, Emiratos Árabes Unidos y Arabia Saudita, según Seculert. Symantec dijo que está viendo incidentes en todas partes, desde los Estados Unidos continentales y Alaska hasta Irán y Grecia, en compañías petroleras, centros de estudios con sede en los EE. UU., Un consulado extranjero y múltiples agencias gubernamentales. Seculert encontró servidores remotos ubicados en Canadá e Irán. Symantec los vinculó a Irán y, más recientemente, a Azerbaiyán.
El descubrimiento de la campaña se produjo hace varios meses en forma de un correo electrónico que contiene un archivo llamado Mahdi.txt, según Seculert. Al hacer clic en un archivo adjunto en el correo electrónico, se abrió el malware y el contenido del archivo Mahdi, un verdadero artículo de Daily Beast que detalla un complot israelí para bloquear las comunicaciones de emergencia en Irán durante un posible asalto a las instalaciones nucleares de Irán.
Engañar a los usuarios de computadoras para que abran archivos adjuntos maliciosos al despertar su interés es una forma de un truco común llamado spearphishing.
Con Mahdi, “la mayoría de los componentes son simples en concepto, pero efectivos en la práctica”, según una declaración en el sitio web de Kaspersky . “No se requerían compromisos de los investigadores de seguridad ni grandes salarios”.
Otro correo electrónico de spearphishing usó una presentación de diapositivas de PowerPoint llamada
“Moses_pic1.pps” que instruyó a las víctimas a conjurar una ilusión óptica del profeta al caminar a través de una serie de imágenes interactivas y relajantes, demostró el sitio web de Kaspersky. Pero todo fue una distracción para que el usuario haga clic en el error.
Las tácticas eran básicas no solo en términos de entrega sino también en términos de ejecución, según Kaspersky.
Moses PowerPoint activó un cuadro de diálogo estándar de Microsoft que advierte a los usuarios que pueden estar a punto de descargar malware: “Está a punto de activar un objeto insertado que podría contener virus o ser dañino para su computadora. Asegúrese de que el objeto sea de una fuente confiable. ¿Quieres continuar?”
Además, el programa está escrito en un código, llamado Delphi, que es indicativo de más programadores o desarrolladores aficionados en un proyecto apresurado, dijeron investigadores de Kaspersky.
Aún así, el malware poco sofisticado hace el trabajo. Una vez activado, Mahdi se comunica con un servidor remoto que puede ordenar al programa que monitoree las pulsaciones de teclas; grabar audio, recuperar archivos; y capturar pantallas de diálogos de chat, bandejas de entrada de correo web y otras redes sociales, según Kaspersky.
Después de que Kaspersky informara en mayo sobre la existencia de Flame, Seculert contactó al laboratorio para investigar posibles similitudes entre los dos gusanos que arrastraban datos. Ambas operaciones habían estado dirigidas a organizaciones en Irán e Israel.
Raff dijo que todavía están buscando una conexión entre Mahdi y Flame, y que la campaña maliciosa está en curso.
Ahora que la tapadera de los intrusos está abierta, “si sienten que esta publicación afectará su campaña, probablemente intentarán pasar desapercibidos por un tiempo y aparecerán más tarde en un lugar diferente”, dijo. “” “” “” “no es mi trabajo
