Il team di Symantec Security Response ha pubblicato un report relativo a Madi una minaccia Trojan utilizzata per campagne mirate attiva già da dicembre 2011. Di seguito alcuni elementi emersi dal report:
– Trojan.Madi è in grado di rubare informazioni ed è dotato di funzionalità di keylogging. Symantec Security Response ha rilevato che il Trojan comunica con server di command-and-control situati in Iran e più di recente in Azerbaijan
– Il target della campagna d’attacco di Madi sembra coprire un ampio spettro che include compagnie petrolifere, Think Tank US-based, un consolato straniero e varie agenzie governative tra cui alcune appartenenti al settore energetico
– Nonostante Madi stia colpendo soprattutto Paesi nel Medio Oriente, sono stati individuati attacchi anche in altre parti del mondo dagli Stati Uniti alla nuova Zelanda. L’attacco Madi sfrutta tecniche di social engineering per raggiungere il computer obbiettivo dell’attacco. Il fatto che siano stati colpiti Paesi come Iran, Israele e Arabia Saudita potrebbe suggerire un coinvolgimento di uno stato-nazione, ad ogni modo i nostri ricercatori non hanno trovato prove a supporto di questa teoria.
Di seguito un esempio di email individuate all’interno della campagna Madi. La mail include un Power Point malevolo come allegato:
Percentuale di infezioni di Madi da dicembre 2011 a luglio 2012:
