Madi возвращается – новые уловки и новый командный сервер

Вчера вечером мы получили новую версию зловреда #Madi , о котором ранее писали в блоге (https://securelist.ru/kampaniya-madi-chast-i-2/3064/).

После отключения командных серверов Madi на прошлой неделе нам казалось, что операция закончена. Но, похоже, мы ошибались.

Как видно из заголовка, новая версия была скомпилирована 25 июля:

Она включает множество интересных доработок и новый функционал. Теперь она способна следить за сайтом VKontakte и диалогами в Jabber. Зловред также ищет посетителей страниц, содержащих в названии элементы «USA» и «gov». В этих случаях зловред делает скриншоты, загружая их на C2.

Полный список отслеживаемых ключевых слов таков:

«gmail», «hotmail», «yahoo! mail» , «google+», «msn messenger», «blogger», «massenger», «profile», «icq» , «paltalk», «yahoo! messenger for the web»,»skype», «facebook» ,»imo», «meebo», «state» , «usa» , «u.s»,»contact» ,»chat» ,»gov», «aol»,»hush»,»live»,»oovoo»,»aim»,»msn»,»talk»,»steam»,»vkontakte»,»hyves», «myspace»,»jabber»,»share»,»outlook»,»lotus»,»career»

В сравнении с предыдущими версиями есть некоторое количество изменений. К примеру, при запуске новая версия создает MUTEX под именем «miMutexCopy Mohammad Etedali «www.irandelphi.ir”». Она дропает файл с именем datikal.dll, содержащий текущую дату. Он проверяет в папке наличие poki65.pik, который является кейлоггером. Код кейлоггера идентичен предыдущим вариантам, однако функция Hook немного отличается — код был скомпилировал из разных подпрограмм в единую процедуру.

Возможно, наиболее важным изменением является то, что теперь infostealer не ожидает «команд» от C2 – вместо этого он просто сразу загружает все украденные данные на сервер.

Новый командный сервер находится в Монреале в Канаде. C2 предыдущей версии Madi также был расположен в Канаде, а также в Тегеране.

На момент написания новый командный сервер, похоже, действует, однако у него нет всех скриптов с ранее используемых серверов. Тем не менее, страница, используемая для эксфильтрации данных (с помощью «sik.php»), работает хорошо:

Таким образом, результаты исследования на сегодняшний день показывают, что кампания Madi по-прежнему продолжается, а злоумышленники, стоящие за ней, занимаются отправкой новых версий с улучшенным функционалом и новыми трюками. Дополнительные проверки на наличие «USA» и «gov» могут указывать на сдвиг фокуса с целей в Израиле на США.

Мы продолжим наш анализ. Полная информация о функционале Madi опубликована здесь:

(http://www.securelist.com/en/analysis/204792237/The_Madi_infostealers_a_detailed_analysis).