Malware bersaglia i dissidenti iraniani facendo rapporto sulle loro attività online

Simurgh

Un nuovo malware pare bersagliare direttamente chi scarica un software studiato per aggirare la censura di stato e nascondere le proprie attività al feroce governo autoritario iraniano.

Mentre la stampa specializzata si interroga su Flame, un malware anche più sinistro si aggira in Iran. Questa volta non sembra un attacco esterno al regime, ma forse proprio un tentativo indiretto della teocrazia o dei suoi sgherri di schiacciare i dissidenti una volta per tutte.

Il malware è un trojan che viene nascosto su un proxy tool chiamato Simurgh, che si occupa di crittografare il traffico di un utente per occultarne i movimenti. La versione ufficiale di Simurgh, scaricabile da https://simurghesabz.net, è pulita. Le versioni corrotte sono alcune di quelle scaricabili tramite peer to peer e se si tiene conto del fatto che il sito principale è normalmente censurato, è facile dedurre che incappare nel trojan è una possibilità concreta per molti navigatori persiani.

Il trojan è di base un keylogger, ma registra tutta l’attività del PC, compresi i link visitati, username, identità della macchina, finestre, applicazioni. Secondo Sophos, tutto viene comunicato ad un server negli Stati Uniti, poi ritrasmesso in Arabia Saudita.

Difficile a questo punto dire se il governo iraniano sia coinvolto o meno nel piano o se si tratti di semplici cybercriminali intenti a rubare dati sensibili. Non è da escludere la pista governativa, però, dato che molto spesso i regimi si servono di questo genere di persona assoldandoli quasi fossero mercenari. Un comportamento simile, si sospetta, è alla base delle continue attività spionistiche che vengono ricondotte alla Repubblica Popolare Cinese.

Una maniera per riconoscere il malware deriva dalla struttura stessa di Simurgh, un tool pensato per essere mobile e portato con una chiavetta in un terminale esterno come un cyber café. Il trojan, invece, richiede il setup (l'immagine in cima al post identifica proprio questa fase), visto che il pacchetto malware deve essere installato sulla macchina per infettarla. Anche gli sviluppatori di Simurgh stanno lottando con l’infezione, e sono in grado di segnalare alle vittime della versione corrotta il loro problema mandandogli una notifica.

Via | Sophos Naked Security

  • shares
  • +1
  • Mail