Вчера вечером мы получили новую версию зловреда #Madi , о котором ранее писали в блоге (https://securelist.ru/kampaniya-madi-chast-i-2/3064/).
После отключения командных серверов Madi на прошлой неделе нам казалось, что операция закончена. Но, похоже, мы ошибались.
Как видно из заголовка, новая версия была скомпилирована 25 июля:
Она включает множество интересных доработок и новый функционал. Теперь она способна следить за сайтом VKontakte и диалогами в Jabber. Зловред также ищет посетителей страниц, содержащих в названии элементы «USA» и «gov». В этих случаях зловред делает скриншоты, загружая их на C2.
Полный список отслеживаемых ключевых слов таков:
«gmail», «hotmail», «yahoo! mail» , «google+», «msn messenger», «blogger», «massenger», «profile», «icq» , «paltalk», «yahoo! messenger for the web»,»skype», «facebook» ,»imo», «meebo», «state» , «usa» , «u.s»,»contact» ,»chat» ,»gov», «aol»,»hush»,»live»,»oovoo»,»aim»,»msn»,»talk»,»steam»,»vkontakte»,»hyves», «myspace»,»jabber»,»share»,»outlook»,»lotus»,»career»
В сравнении с предыдущими версиями есть некоторое количество изменений. К примеру, при запуске новая версия создает MUTEX под именем «miMutexCopy Mohammad Etedali «www.irandelphi.ir”». Она дропает файл с именем datikal.dll, содержащий текущую дату. Он проверяет в папке наличие poki65.pik, который является кейлоггером. Код кейлоггера идентичен предыдущим вариантам, однако функция Hook немного отличается — код был скомпилировал из разных подпрограмм в единую процедуру.
Возможно, наиболее важным изменением является то, что теперь infostealer не ожидает «команд» от C2 – вместо этого он просто сразу загружает все украденные данные на сервер.
Новый командный сервер находится в Монреале в Канаде. C2 предыдущей версии Madi также был расположен в Канаде, а также в Тегеране.
На момент написания новый командный сервер, похоже, действует, однако у него нет всех скриптов с ранее используемых серверов. Тем не менее, страница, используемая для эксфильтрации данных (с помощью «sik.php»), работает хорошо:
1 2 3 4 5 6 7 8 |
./madi-check http://72.55.X.X/Sendfilejj.html HTTP/1.1 200 OK Content-Length: 1361 Content-Type: text/html Last-Modified: Wed, 27 Jul 2011 01:11:21 GMT Server: Microsoft-IIS/7.5 X-Powered-By: ASP.NET Date: Wed, 25 Jul 2012 09:53:47 GMT |
Таким образом, результаты исследования на сегодняшний день показывают, что кампания Madi по-прежнему продолжается, а злоумышленники, стоящие за ней, занимаются отправкой новых версий с улучшенным функционалом и новыми трюками. Дополнительные проверки на наличие «USA» и «gov» могут указывать на сдвиг фокуса с целей в Израиле на США.
Мы продолжим наш анализ. Полная информация о функционале Madi опубликована здесь:
(http://www.securelist.com/en/analysis/204792237/The_Madi_infostealers_a_detailed_analysis).
Madi возвращается – новые уловки и новый командный сервер