Des chercheurs en sécurité informatique des firmes Seculert et Kaspersky ont révélé qu'un logiciel malveillant nommé Mahdi a été utilisé pendant près de huit mois pour espionner des centaines de cibles basées en Iran, en Israël et dans quelques autres pays du Moyen Orient.
Le cheval de Troie serait entre autre capable de procéder à des enregistrements audio ou des frappes claviers, mais aussi de faire des captures d'écran à intervalles réguliers, d'espionner les communications via mails ou messagerie instantanée ou encore d'accéder et de voler un certains nombres de documents, d'images, d'archives ou de fichiers sensibles.

Plus de 800 victimes recensées

Seculert a découvert le malware il y a déjà plusieurs mois alors que la compagnie enquêtait sur un email suspect contenant un faux document en pièce jointe, ont annoncé mardi les chercheurs de la société israélienne dans un billet de blog.
Seculert et Kaspersky ont en outre fait part de leurs conclusions sur la possibilité que le malware Mahdi présente des similitudes avec Flame, un malware ultra-sophistiqué de cyberespionage qui avait lui aussi ciblé l'Iran et le Moyen Orient.

Les deux sociétés ont travaillé ensemble pour rediriger le trafic du malware à un serveur sous leur contrôle - une opération appelée sinkholing - afin d'analyser celui-ci. L'opération leur a permis d'identifier près de 900 victimes, principalement des hommes d'affaire travaillant sur de sensibles projets iraniens ou israéliens, mais aussi des étudiants, dont 387 en Iran, 57 en Israël mais aussi une quinzaine en Afghanistan. Les autres victimes appartenant à d'autres du Moyen Orient.

Le malware utiliserait des procédés basiques

"Les grandes quantités de données collectées révèlent l'intérêt particulier porté sur les infrastructures sensibles du Moyen Orient. Des firmes d'ingénierie, des agences gouvernementales, des établissements financiers et même des universités" ont déclaré les chercheurs de Kaspersky. "Les individus victimes du virus ont été sélectionnés pour être surveillés de façon accrues sur de longues périodes" ont ils poursuivi.
Le malware serait distribué via mail malveillants en utilisant des techniques de base d'ingénierie sociale pour tromper les destinataires et les pousser à ouvrir des fichiers PowerPoint infectés.

Le programme d'installation du logiciel malveillant, intégré dans les fichier, serait en effet exécuté lorsque les utilisateurs acceptent d'ouvrir les fichiers PowerPoint et ce malgré un avertissement associés aux fichiers contenus dans ces documents PowerPoint.
A l'installation, une quantité inhabituelle de documents ou d'images de "diversion" à caractères religieux ou politique serait par ailleurs distribuée sur la machine infectée.