Kaspersky Lab e Seculert hanno scoperto un nuovo malware specializzato nello spionaggio di mail, password, file e conversazioni, che è stato usato in almeno 800 PC mediorientali, soprattutto in Iran e Israele. Madi (o Mahdi), com'è stato battezzato, pare essersi infiltrato nelle infrastrutture informatiche di aziende, istituzioni finanziarie e governative. Sebbene tutti abbiano pensato immediatamente a qualcosa di simile a Flame, il malware che ha bloccato il programma nucleare iraniano, un'attenta analisi avrebbe confermato una qualità di programmazione nettamente inferiore.
La diffusuione di Madi
"Sebbene non si possa individuare una connessione diretta tra i contagi, le vittime colpite da Mahdi includono infrastrutture critiche di aziende, servizi finanziari e ambasciate, che sono tutte situate in Iran, Israele e diversi altri paesi del Medio Oriente", sostengono gli analisti di Seculert. "Non è ancora chiaro che si tratti di un attacco eseguito da uno Stato o meno".
La diffusione del malware sembra essere iniziata a dicembre sfruttando una serie di mail contenenti articoli, video e immagini religiose ambientate nel deserto o ai tropici. La tecnica per mascherare i file pericolosi si chiama "Right to Left Override". In pratica, approfittando di una funzione che nasce per la gestione delle lingue nelle quali si scrive da destra a sinistra, un codice ordina di invertire il verso di scrittura. E così un file che si chiama apparentemente "testoexe.doc" è in realtà "testo[codice RLO]cod.exe". Con un doppio click ecco l'avvio, e la contaminazione. Insomma un metodo consolidato e piuttosto grezzo.
Il server manager di Madi
Madi comunque ha dimostrato di essere capace di memorizzare la digitazione dei caratteri, catturare schermate e persino spiare messaggi gestiti via Gmail, Hotmail, Yahoo! Mail, Skype o ICQ. Non meno importante la possibilità di registrare tramite i microfoni dei PC le conversazioni ambientali. Tutti i dati raccolti almeno in un caso venivano spediti in automatico verso un server canadese, un'altra variante legata allo stesso dominio invece faceva riferimento a un server di Teheran.
In ogni caso in circa 8 mesi sono state individuate 800 vittime. I server di controllo remoti si affidavano al linguaggio Farsi, normalmente parlato in Iran, Tagikistan, Afghanistan e Uzbekistan. Nello specifico si parla poi di 387 infezioni in Iran, 54 in Israele, 14 in Afghanistan e 6 negli Emirati Arabi.