image

Religieuze spionagetool luistert Jabber-gesprekken af

woensdag 25 juli 2012, 17:18 door Redactie, 3 reacties

De religieus getinte Mahdi-spyware die vorige week werd ontdekt is nog altijd actief. De eerste variant bespioneerde Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ en Facebook-accounts. De Command & Control servers werden vervolgens uitgeschakeld. Om computers te infecteren sturen de aanvallers een PowerPoint-bestand met daarin een religieus thema, hoewel ook andere onderwerpen zijn gebruikt.

Variant
Inmiddels is een tweede variant opgedoken met nieuwe C&C-servers. Deze versie monitort naast de eerdere genoemde diensten en netwerken ook de Russische sociale netwerksite VKontakte en luistert Jabber-gesprekken af. Ook zoekt het naar mensen die websites bezoeken met de sleutelwoorden 'USA' en 'gov' in de titel. In deze gevallen maakt de malware een screenshot en stuurt die naar de C&C-server.

De grootste verandering ten opzichte van de eerste versie is dat de infostealer niet meer wacht op een opdracht van de C&C-server, maar meteen begint met het stelen en uploaden van de gegevens, zo laat Nicolas Brulez van Kaspersky Lab weten.

Locatie
Beveiligingsbedrijf Seculert ontdekte Mahdi, dat onder andere bij olie- en energiebedrijven werd aangetroffen. Volgens Seculert, dat na de ontdekking Kaspersky Lab waarschuwde, vonden de meeste infecties in Iran plaats en zou het mogelijk om een door een staat gesponsorde aanval gaan. Anti-virusbedrijf Symantec bestrijdt dat en stelt dat de meeste infecties in Israël zijn waargenomen.

Reacties (3)
26-07-2012, 08:59 door Anoniem
"Symantec bestrijdt dat en stelt dat de meeste infecties in Israël zijn waargenomen"

Is natuurlijk een afleiding van Iran om het niet zo "obvious" te laten lijken...
26-07-2012, 12:20 door Anoniem
Door Anoniem: "Symantec bestrijdt dat en stelt dat de meeste infecties in Israël zijn waargenomen"

Is natuurlijk een afleiding van Iran om het niet zo "obvious" te laten lijken...
Of misschien wel gewoon een feit? Israël is niet veel beter dan Iran, bespioneren van burgers is daar al decennia gemeengoed. Zoveel verschillen ze in houding niet zo hoor.
26-07-2012, 19:15 door Anoniem
Aan de reactie van Symantec zou ik niet zoveel waarde hechten, over het algemeen roepen ze meer dan dat ze presteren, al jaren... Kaspersky heeft zich al 30 jaar bewezen en is juist een van de meest betrouwbare partijen in die sector..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.