Après Flame, les chercheurs des sociétés Kaspersky et Seculert ont repéré un nouveau malware de type cheval de Troie lui aussi capable de voler des documents, d’enregistrer des saisies au clavier ou du son, de faire des captures d’écran et de surveiller mails et messageries instantanées.
Mahdi a été découvert il y a plusieurs mois par Seculert qui enquêtait sur un email suspect contenant un faux document en pièce jointe a annoncé mardi les chercheurs de la société israélienne sur son blog. En outre, Seculert et Kaspersky ont fait part de leurs conclusions sur la possibilité que Mahdi présente des similitudes avec Flame, un virus ultrasophistiqué de cyber-espionnage qui avait lui aussi le Moyen-Orient.
Les deux firmes collaborent pour rediriger le trafic du malware vers un serveur sous leur contrôle afin d’analyser celui-ci.
L’opération leur a permis d’identifier près de 900 victimes, principalement des hommes d’affaires travaillant sur des projets sensibles iraniens ou israéliens, mais aussi des étudiants, dont 387 en Iran, 57 en Israël, mais aussi une quinzaine en Afghanistan.
Les autres victimes appartenant à d’autres du Moyen-Orient. « Les grandes quantités de données collectées révèlent l’intérêt particulier porté sur les infrastructures sensibles du Moyen-Orient. Des firmes d’ingénierie, des agences gouvernementales, des établissements financiers et même des universités », ont déclaré les chercheurs de Kaspersky. « Les individus victimes du virus ont été sélectionnés pour être surveillés de façon accrue sur de longues périodes », ont-ils poursuivi.
Le malware serait distribué via des mails malveillants en utilisant des techniques de base d’ingénierie sociale pour tromper les destinataires et les pousser à ouvrir des fichiers PowerPoint infectés. Le programme d’installation du logiciel malveillant, intégré dans les fichiers, serait en effet exécuté lorsque les utilisateurs acceptent d’ouvrir les fichiers PowerPoint, et ce malgré un avertissement associé aux fichiers contenus dans ces documents PowerPoint.
À l’installation, une quantité inhabituelle de documents ou d’images de « diversion » à caractères religieux ou politique serait par ailleurs distribuée sur la machine infectée.
Par contre, cette fois, « Il n’est pas clair qu’il s’agit d’une attaque soutenue par un gouvernement », a précisé le chef du département technologie de Seculert, Aviv Raff.