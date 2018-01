O trojan Mahdi monitora e-mails, IM, grava áudio e memoriza teclas; autor escreveu código em persa

BOSTON – Especialistas em segurança descobriram uma campanha de ciberespionagem que colocou o Irã e outros países do Oriente Médio como alvos. A nova ofensiva se destaca porque é a primeira operação já descoberta que usa ferramentas de comunicação escritas em persa.

A companhia israelense de segurança Seculert e a russa Kaspersky Lab disseram nesta terça-feira, 17, que identificaram mais de 800 vítimas da operação. Os alvos incluem companhias que fornecem infraestrutura crítica, estudantes de engenharia, empresas de serviços financeiros e embaixadas localizadas em cinco países do Oriente Médio. A maioria das infecções foi descoberta no Irã.

A Seculert e a Kaspersky não quiseram identificar os alvos da campanha, que acreditam ter começado há pelo menos oito meses. As empresas afirmam que não sabem quem está por trás dos ataques ou se algum país está envolvido.

“Com certeza é alguém que é fluente em persa, mas não sabemos a origem deles”, disse o vice-presidente de tecnologia da Seculert, Aviv Raff.

O trojan Mahdi permite que seus usuários roubem arquivos de computadores infectados e monitorem emails e mensagens instantâneas, disseram a Seculert e a Kaspersky. O software também permite a gravação de áudio, registro de teclas digitadas e retirada de imagens de atividades nos computadores infectados.

As empresas afirmaram que acreditam que múltiplos gigabytes de dados foram enviados a partir das máquinas comprometidas pelo programa.

“Alguém está tentando montar um dossiê em larga escala de alguma coisa”, disse Raff. “Não sabemos o que vão fazer com isso.”

Pesquisadores afirmaram anteriormente que países quase certamente estavam por trás do vírus Flame, que foi descoberto no início deste ano, e do Duqu, descoberto em 2011.

A Seculert e a Kaspersky apelidaram a nova campanha de Mahdi, um termo que se refere à profetizada redenção do Islã, porque as evidências sugerem que os autores usaram uma pasta com esse nome quando desenvolveram o software. Eles também incluíram um arquivo de texto chamado mahdi.txt no programa maligno.

