Ниже приведен пример электронного письма со вложенным вредоносным файлом PowerPoint:
Целевое письмо с вредоносным вложением PowerPoint
В этом случае открываемый файл PowerPoint демонстрирует последовательность слайдов, на которых ракета поражает сверхзвуковой самолет. Во время демонстрации последнего кадра пользователь получает запрос на разрешение запуска исполняемого файла.
Последний слайд PowerPoint и запрос на запуск файла .scr
Symantec определяет данную вредоносную программу как Trojan.Madi. Она способна похищать информацию, включая перехват ввода с клавиатуры. Этот троян также может самостоятельно обновляться. Специалисты Symantec отследили взаимодействие Trojan.Madi с серверами command-and-control, размещенными в Иране, а совсем недавно и в Азербайджане.
Целями, на которые направлен Madi, являются предприятия самого широкого спектра, среди которых зафиксированы нефтяные компании, исследовательские и научные центры США, иностранные консульства, а также различные государственные агентства, в том числе из энергетической отрасли.
Глобальная карта распространения инфекции Madi
Несмотря на то, что Madi засветился как нацеленный на страны Ближнего Востока, его неоднократно обнаруживали по всему земному шару – от Соединенных Штатов до Новой Зеландии.
Процентное распределение заражений Madi с декабря 2011 по июль 2012
В то время как высокоинтеллектуальные атаки, такие как Flamer, Duqu и Stuxnet, используют различные техники взлома систем – включая атаки на уязвимости нулевого дня, - Madi использует приемы социальной инженерии для определения целевых компьютеров.
Исследование Symantec показывает, что злоумышленником является говорящий на фарси хакер, обладающий довольно большими амбициями.
