Israel ramt af malware

Den næste bølge af angreb i Mellemøsten er nu en realitet. Dette er sket i form af trojaneren Madi, der går efter myndighederne i Israel og har stået på i et år. Det skriver Version 2.

Madi er dog ikke et stykke avanceret kode med 0-day-sårbeheder og certifikater. Ifølge Kaspersky er Madi et sjusket stykke kode i Delphi, hvor programmørerne bag ikke er nået længere end de første kapitler i håndbogen for Delphi.

Kaspersky skrev:

In this article we closely analyzed the infostealer used in the Madi campaign. The coding style and the usage of Delphi, together with the programming techniques indicate a rudimentary approach.
Most of the data-stealing actions and communication with the C&C servers take place via external files, which is rather messy. Whoever coded it is probably still reading through the first chapters of their Delphi manuals.

Madi har dog alligevel opnået en vis succes, da den har formået at inficere 800 computere. Dette er dog ikke Madi selv, der har været årsag til den store udbredelse, men skyldes ifølge Kaspersky mere at der er brugt social engineering. Dette er typisk sket via en powerpoint-præsentation og det til trods for at der under powerpointpræsentation kommer en advarsel om kørsel af kode, som kan være virus eller anden malware. En anden metode var at benytte en eksekverbar fil maskeret som en billedfil. For eksempel har bagmændene bag Madi benyttet sig af gpj.scr, der for brugeren bliver vist omvendt som rcs.jpg.

De 800 inficerede computere var blandt andet placeret hos statslige kontorer og infrastrukturselskaber. Desuden har der været mere fokus på nogle mål frem for andre.