Les chercheurs de Kaspersky et Seculert ont annoncé avoir découvert un nouveau logiciel malveillant infectant les ordinateurs sous Windows en Iran, en Israël et dans d’autres pays du Moyen-Orient : Mahdi.
Le cheval de Troie aurait été utilisé plusieurs mois afin d’espionner plus de 800 cibles dans plusieurs pays du Moyen-Orient.
Mahdi présente des similitudes avec Flame, le virus ultrasophistiqué utilisé il y a peu de temps pour espionner l’Iran. Il serait capable notamment d’enregistrer des communications par mails ou messagerie instantanée, des conversations audio ou des frappes claviers, de faire des captures d’écran, de récupérer des documents en tous genres sur les ordinateurs infectés.
Pour infiltrer les machines de ses victimes, Mahdi utilise une technique simple consistant à tromper le destinataire et le pousser à ouvrir un fichier PowerPoint infecté. Le programme d’installation du logiciel malveillant intégré au PowerPoint s’exécuterait à l’ouverture du fichier. Vraisemblablement, à l’installation du fichier, une grande quantité de documents à caractères religieux ou politique s’installerait sur la machine, afin de faire diversion.
Les deux sociétés étudient ce malware depuis plusieurs mois grâce à une redirection de son trafic vers un serveur sous contrôle. Ainsi, on note près de 900 victimes, essentiellement des hommes d’affaires travaillant sur des projets iraniens ou israéliens sensibles, mais aussi plusieurs étudiants.
Selon les chercheurs de Kaspersky, « les grandes quantités de données collectées révèlent l’intérêt particulier sur les infrastructures sensibles du Moyen-Orient. Des firmes d’ingénierie, des agences gouvernementales, des établissements financiers et même des universités. […] Les individus victimes du virus ont été sélectionnés pour être surveillés de façon accrue sur de longues périodes. »