Categories: Sicherheit

Neuer Trojaner „Mahdi“ verbreitet sich in Iran und Israel

Mehrere Sicherheitsunternehmen haben auf einen Trojaner hingewiesen, der ähnlich wie Stuxnet und Flame vor allem im Nahen Osten sein Unwesen treibt. Die als „Mahdi“ bezeichnete Malware enthält Zeichenketten in Farsi und Daten im persischen Kalenderformat, wie der israelische Sicherheitsanbieter Seculert in seinem Blog schreibt. Mahdi steht im Islam für den Erlöser, der kurz vor dem jüngsten Tag die Erde von allem Übel befreit.

Seit rund acht Monaten sammle die Malware bei Infrastrukturunternehmen, israelischen Finanzinstitutionen, Botschaften, Maschinenbaustudenten und weiteren Personen Informationen, so Seculert. Fünf Staaten im Nahen Osten seien betroffen, vor allem der Iran.

Hauptziele von Mahdi sind laut Seculert der Iran und Israel (Bild: Seculert).

Mahdi liest laut Seculert Mails mit und schneidet Audiospuren sowie Textnachrichten mit. Zudem fertigt die Malware Screenshots an und kopiert Dateien, um sie anschließend an Kommando- und Kontrollserver (C&C-Server) zu senden. In den vergangenen Monaten soll der Schädling mehrere Gigabyte Daten gesammelt haben.

„Es ist noch nicht klar, ob ein Staat hinter dieser Attacke steht oder nicht“, heißt es im Seculert-Blog. Jeder angegriffene Rechner bekomme ein eigenes Präfix. Daraus schließen die Sicherheitsexperten, dass möglicherweise ein potenter Geldgeber hinter der Attacke steht. Unklar sei bislang auch, was mit diesen teilweise recht umfangreichen Dossiers, die über die Malware generiert wurden, geschehen soll. Schließlich sei kein direkter Zusammenhang zwischen den einzelnen Opfern auszumachen.

Über ein Sinkhole und die eigene cloudbasierte Technologie konnte Seculert nach eigenen Angaben zeigen, dass etwa 800 betroffene Rechner mit insgesamt vier C&C-Servern kommunizieren. Derzeit versuche man zusammen mit Kaspersky Labs herauszufinden, ob es zwischen Mahdi und dem im Mai entdeckten Schädling Flame einen Zusammenhang gibt. Aktuell gebe es darauf jedoch keine Hinweise.

Auch Kasperky informiert in seinem Blog über den neuen Schädling. Mahdi verbreite sich über eine relativ einfach gestrickte Spearhead-Attacke. Der Trojaner tarne sich als eine PowerPoint-Präsentation mit scheinbar religiösen Inhalten. Das sei zwar eine vergleichsweise primitive Methode, doch offenbar nach wie vor sehr effektiv, so Kaspersky. Über eine Funktion in PowerPoint werde schließlich ein Backdoor-Trojaner geladen. Der sei in Delphi geschrieben, was laut dem russischen Sicherheitsanbieter entweder auf eine schnelle Umsetzung des Projekts hinweist, oder auf einen geringen Kenntnisstand der Autoren.

[mit Material von Martin Schindler, silicon.de]

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago