Kaspersky Lab współpracował z Seculert w celu przeprowadzenia tzw. operacji leja skierowanej na serwery kontroli Madi, umożliwiającej monitorowanie kampanii cyberprzestępczej. Firmy zidentyfikowały ponad 800 ofiar znajdujących się w Iranie, Izraelu oraz wybranych krajach na świecie, które przez ostatnie osiem miesięcy łączyły się z serwerami cyberprzestępców. Uzyskane statystyki pozwalają stwierdzić, że wśród ofiar znajdowali się głównie biznesmeni pracujący nad irańskimi i izraelskimi projektami dotyczącymi krytycznej infrastruktury, izraelskie instytucje finansowe, studenci inżynierii z Bliskiego Wschodu oraz różne agencje rządowe udzielające się na Bliskim Wschodzie.
Ponadto, podczas analizy tego szkodliwego oprogramowania zidentyfikowano nietypową ilość religijnych oraz politycznych dokumentów i obrazów „odwracających uwagę”, które zostały zamieszczone w systemach w czasie, gdy miała miejsce pierwsza infekcja.
– powiedział Nicolas Brulez, starszy analityk szkodliwego oprogramowania, Kaspersky Lab. .
– powiedział Aviv Raff, dyrektor ds. technologii, Seculert.
Wykorzystywany w kampanii Madi trojan pozwala zdalnym agresorom kraść poufne pliki z zainfekowanych komputerów działających pod kontrolą systemu Windows, monitorować poufną komunikację przesyłaną za pośrednictwem poczty e-mail i komunikatorów internetowych, nagrywać dźwięk, rejestrować uderzenia klawiszy oraz wykonywać zrzuty ekranu ofiary. Z analizy danych wynika, że z komputerów ofiar zostało skradzionych wiele gigabajtów danych.
Popularne aplikacje i strony internetowe, które szpiegowano, obejmowały konta na Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ oraz Facebooku. Inwigilacji poddano również zintegrowane systemy ERP/CRM, kontrakty biznesowe oraz systemy zarządzania finansowego. Produkty Kaspersky Lab wykrywają warianty szkodnika Madi wraz z powiązanymi z nim modułami jako Trojan.Win32.Madi.
