Categories: Sicherheit

Neuer Trojaner „Mahdi“ verbreitet sich in Iran und Israel

Mehrere Sicherheitsunternehmen haben auf einen Trojaner hingewiesen, der ähnlich wie Stuxnet und Flame vor allem im Nahen Osten sein Unwesen treibt. Die als „Mahdi“ bezeichnete Malware enthält Zeichenketten in Farsi und Daten im persischen Kalenderformat, wie der israelische Sicherheitsanbieter Seculert in seinem Blog schreibt. Mahdi steht im Islam für den Erlöser, der kurz vor dem jüngsten Tag die Erde von allem Übel befreit.

Seit rund acht Monaten sammle die Malware bei Infrastrukturunternehmen, israelischen Finanzinstitutionen, Botschaften, Maschinenbaustudenten und weiteren Personen Informationen, so Seculert. Fünf Staaten im Nahen Osten seien betroffen, vor allem der Iran.

Hauptziele von Mahdi sind laut Seculert der Iran und Israel (Bild: Seculert).

Mahdi liest laut Seculert Mails mit und schneidet Audiospuren sowie Textnachrichten mit. Zudem fertigt die Malware Screenshots an und kopiert Dateien, um sie anschließend an Kommando- und Kontrollserver (C&C-Server) zu senden. In den vergangenen Monaten soll der Schädling mehrere Gigabyte Daten gesammelt haben.

„Es ist noch nicht klar, ob ein Staat hinter dieser Attacke steht oder nicht“, heißt es im Seculert-Blog. Jeder angegriffene Rechner bekomme ein eigenes Präfix. Daraus schließen die Sicherheitsexperten, dass möglicherweise ein potenter Geldgeber hinter der Attacke steht. Unklar sei bislang auch, was mit diesen teilweise recht umfangreichen Dossiers, die über die Malware generiert wurden, geschehen soll. Schließlich sei kein direkter Zusammenhang zwischen den einzelnen Opfern auszumachen.

Über ein Sinkhole und die eigene cloudbasierte Technologie konnte Seculert nach eigenen Angaben zeigen, dass etwa 800 betroffene Rechner mit insgesamt vier C&C-Servern kommunizieren. Derzeit versuche man zusammen mit Kaspersky Labs herauszufinden, ob es zwischen Mahdi und dem im Mai entdeckten Schädling Flame einen Zusammenhang gibt. Aktuell gebe es darauf jedoch keine Hinweise.

Auch Kasperky informiert in seinem Blog über den neuen Schädling. Mahdi verbreite sich über eine relativ einfach gestrickte Spearhead-Attacke. Der Trojaner tarne sich als eine PowerPoint-Präsentation mit scheinbar religiösen Inhalten. Das sei zwar eine vergleichsweise primitive Methode, doch offenbar nach wie vor sehr effektiv, so Kaspersky. Über eine Funktion in PowerPoint werde schließlich ein Backdoor-Trojaner geladen. Der sei in Delphi geschrieben, was laut dem russischen Sicherheitsanbieter entweder auf eine schnelle Umsetzung des Projekts hinweist, oder auf einen geringen Kenntnisstand der Autoren.

[mit Material von Martin Schindler, silicon.de]

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago