Mahdi – Eine neue Waffe im Cyber-War?

Es ist auch die erste Malware, die auch Komponenten in Farsi und Persisch enthält. Seit rund acht Monaten sammle diese Malware bei Infrastrukturunternehmen, israelischen Finanzinstitutionen, Botschaften, Maschinenbaustudenten und weiteren Personen Informationen. Vor allem der Iran sei betroffen, wie das israelische Sicherheitsunternehmen Seculert mitteilt. Aber auch vier weitere Staaten im nahen Osten seien von der Attacke betroffen.

Mahdi liest laut Seculert Mails mit, schneidet Audio-Spuren mit und lauscht bei Textnachrichten, auch Dateien kopiert die Schadsoftware und sendet sie an einen C&C-Server (Control and Command). Der Schädling soll mehrere Gigabyte Daten gesammelt haben.

“Es ist noch nicht klar, ob ein Staat hinter dieser Attacke steht oder nicht”, heißt es im Seculert-Blog. Jeder angegriffene Rechner bekomme ein eigenes Präfix. Daraus schließen die Sicherheitsexperten, dass möglicherweise ein potenter Geldgeber hinter der Attacke steht. Unklar sei bislang auch, was mit diesen teilweise recht umfangreichen Dossiers, die über die Malware generiert wurden, geschehen soll. Schließlich habe der Anbieter einer Cloud-Sicherheitslösung keine direkten Zusammenhänge zwischen den einzelnen Opfern ausmachen können.

Über ein Sinkhole und die eigene Cloud-basierte Technologie, hätte Seculert zeigen können, dass etwa 800 betroffene Rechner mit insgesamt vier C&C-Server kommunizierten. Seculert versucht derzeit zusammen mit Kaspersky Labs herauszufinden, ob es zwischen Mahdi und dem im Mai entdeckten Flame-Schädling einen Zusammenhang gibt. Derzeit scheint es dafür jedoch keine Hinweise zu geben.

Auch Kasperky informiert in einem Blog über diesen Schädling. Mahdi verbreite sich über ein relativ einfach gestrickte Spearhead-Attake. Der Trojaner tarne sich demnach als eine Power-Point-Präsentation mit scheinbar religiösen Inhalten. Das sei zwar eine vergleichsweise primitive Methode, doch offenbar nach wie vor sehr effektiv, wie es von Kaspersky heißt. Über eine Funktion in PowerPoint werde schließlich ein Backdoor-Trojaner geladen. Der sei in Delphi geschrieben, was laut Kaspersky entweder auf eine schnelle Umsetzung des Projektes hinweist, oder auf niedrigen Kenntnisstand der Autoren.

Mit solchen Motiven wollen die Autoren von Mahdi die Nutzer dazu bewegen, eine PowerPoint-Datei zu öffnen. Derzeit gibt der in Delphi geschriebene Trojaner noch einige Rätsel auf. Quelle: Kaspersky Labs.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago