2012年7月17日,卡巴斯基实验室与Seculert共同公布了Madi的发现,是一项正在中东地区执行的网络间谍行动。通过一种恶意信息盗取 木马,Madi攻击者已经感染了伊朗、以色列、阿富汗以及其他国家中的800多台计算机。感染使用了社交工程手段,并对攻击目标进行了谨慎的筛选。
卡巴斯基实验室的专家们近日发表了一份有关Madi攻击者使用的信息盗取恶意程序的详细技术分析文章,文中提供了信息盗取木马每一个主要功能的技术 范例和解释,以及这种木马是如何安装到受感染的设备中、记录键盘输入信息、如何与指令控制中心(C&Cs)沟通的。主要发现如下:
●总的来看,尽管感染了800多台计算机,Madi计划中的恶意程序结构并不是很复杂。
●Madi信息盗取木马的开发是一个不完善的过程,基于攻击者代码风格、编程技术,对Delphi汇编语言的使用不够熟练。
●大部分信息盗取行为以及与控制指令中心服务器连接都是通过外部文件来进行的,这些外部文件结构混乱,Delphi中的编码也是很基础的方式。
●尽管该恶意程序的编码十分粗糙,但还是有很大数量的计算机被信息盗取木马感染,原因是被部署在Madi攻击者中的社交工程学手段影响了。
●Madi行动表明甚至是低质量的恶意程序仍然能够成功地感染并盗取数据,因此,用户们对可疑邮件一定要更加小心。
●该恶意程序中并没有使用漏洞探测或零日漏洞技术,取得如此成功的感染实在令人惊讶。
●从开发和执行过程来看,Madi是一次低成本的行动计划,但却获得了令人称赞的投资回报,无论是从感染计算机的数量,还是获得的数据来评判。
●尽管该恶意程序中发现一些不同寻常的特点,但还没有确凿的证据指出其背后的创建者是谁。