Cyberspionage: Kaspersky Lab nennt neue Details zu Madi

Der in der vergangenen Woche entdeckte Trojaner Madi ist mysteriös: Mit ihm wurden bisher rund 800 Rechner hochrangiger Opfer im Mittleren Osten infiziert. Die »extrem rudimentäre« Programmierung lässt zwar nicht auf Geheimdienste schließen. Vielleicht soll aber auch bewusst dieser Eindruck verschleiert werden.

Trojaner Madi: »Programmierung stellenweise unkonventionell«. (Foto: Kaspersky)

Der Trojaner Madi hat dem unbekannten Verbreiter offenbar mit geringem Aufwand einen großen Ertrag gebracht. Schon in der vergangenen Woche meldete Symantec , der Schädling habe unter anderem Öl-Unternehmen, US-amerikanische Think Tanks, eine Botschaft und verschiedene Behörden, unter anderem aus dem Energiebereich, befallen. Das Symantec Security Response Team hat beobachtet, wie der Trojaner mit Command-and-Control-Servern im Iran und seit kurzem auch in Aserbaidschan kommunizierte.

Wie Kaspersky Lab und Seculert jetzt mitteilen, haben die Madi-Hintermänner weltweit mehr als 800 Opfer im Iran, in Israel, in Afghanistan sowie in weiteren Ländern rund um den Globus mit dem bösartigen, Informationen stehlenden Trojaner infiziert. Madi wurde per Social Engineering-Tricks an ausgewählte Ziele gerichtet.

Einer technischen Analyse von Kaspersky Lab zufolge sind jetzt weitere Details zu Madi bekannt:

- Der Informationen stehlende Trojaner ist extrem rudimentär hinsichtlich seines Programmierstils und der Programmierungstechnik.

- Es wurden keine fortschrittlichen Exploit-Techniken oder Zero-Day-Exploits eingesetzt.

- Die meisten Aktionen sowie die Kommunikation mit dem Command-and-Control-Servern wurden über externe Dateien durchgeführt. Dies ist ein sehr einfacher und unorganisierter Einsatz der Programmierung in Delphi.

- Trotz der schlichten Codierung der Malware gelang es, zirka 800 hochrangige Opfer über Social-Engineering-Tricks mit dem Trojaner zu infizieren.

Kaspersky Labs zufolge zeigt die Madi-Kampagne, dass auch Malware von geringer Qualität erfolgreich Systeme infizieren und Informationen stehlen kann. Nutzer sollten daher immer auf verdächtige E-Mails achten. Interessant ist, das trotz der offenbar eher dilettantischen Programmierung keiner der namhaften Virenschutzanbieter eine Prognose wagt, woher der Schädling stammen könnte. Bei Kaspersky heißt es dazu lediglich: »Anhand der Art der Programmierung, die stellenweise unkonventionell ist, konnten bisher keine Rückschlüsse auf die Autoren der Malware geschlossen werden«.