Après Stuxnet et Flame, le malware Mahdi espionne le Proche-Orient

Des experts en sécurité ont découvert un cheval de Troie qui vise particulièrement des cibles stratégiques au Proche-Orient. Ses possibilités en matière d'espionnage informatique rappellent aussi celles du malware Flame.

"Pendant près d'un an, une opération a cherché à infiltrer des systèmes informatiques au Proche-Orient. Cette opération a particulièrement visé des infrastructures critiques, des agences gouvernementales ainsi que des acteurs de la finance et de l'éducation", annonce l'équipe de recherche et d'analyse de l'éditeur d'antivirus Kaspersky. Cette équipe a en effet été alertée par la société Seculert de l'existence d'un spyware, baptisé Mahdi, qui présente certaines similitudes avec Flame.

Le malware était dissimulé dans des documents Office. Comme Flame, il s'est avéré que ce cheval de Troie dérobe des informations, enregistre les frappes et les conversations, réalise des captures d'écrans, et s'intéresse notamment aux interactions par messagerie instantanée ou webmail. Les experts de Seculert ont également découvert l'existence d'une variante de ce malware dès 2011. Il communiquait alors avec un serveur basé à Téhéran, en Iran. En outre, certains de ses composants et communications étaient réalisés en persan.

En tout, les équipes de Kasperky et de Seculert ont pu dénombrer 800 victimes sur une période de 8 mois. Ils précisent néanmoins qu'aucune exploitation de faille 0 day n'a été découverte,  soulignant que l'attaque n'en a pas eu besoin pour être efficace.

Virus / Pirate