“Gauss” nueva ciberamenaza que monitoriza cuentas bancarias online, infecta memorias USB, utilizando la vulnerabilidad LNK, la misma que se utilizó anteriormente en Stuxnet y Flame.
Ciberarma que también está dirigida a usuarios de Citibank y PayPal
Diario Ti anuncia el descubrimiento de Gauss, una nueva ciberamenaza cuyo objetivo son usuarios de Oriente Medio. Gauss es un conjunto de complejas herramientas creadas por un Estado para llevar a cabo labores de ciberespionaje y robo de datos confidenciales, con especial foco en contraseñas del navegador, credenciales de cuentas bancarias online, cookies y configuraciones específicas de los equipos infectados. La funcionalidad del troyano bancario Gauss tiene características únicas que no se encuentran en ninguna otra ciberarma descubierta anteriormente.
Gauss fue descubierto tras detectar Flame, durante una investigación iniciada por la agencia de Naciones Unidas para la Información y la Comunicación Tecnológica (ITU), dirigida a mitigar los riesgos derivados de las ciberarmas, lo cual es un componente clave en la consecución de un objetivo global en materia de paz. ITU, junto a la experiencia de Kaspersky Lab, está dando pasos importantes para fortalecer la seguridad general mediante la colaboración activa con todas las partes implicadas en el proceso como gobiernos, sector privado, organizaciones internacionales y sociedad, además de sus principales partners dentro de la iniciativa ITU-IMPACT.
Expertos descubrieron Gauss mediante la identificación de puntos en común con otros programas maliciosos como Flame, ya que incluye plataformas de arquitectura, estructuras modulares, códigos de base y sistemas de comunicación con los servidores de comando y control (C&C) similares.
Principales descubrimientos:
● El análisis de Gauss indica que inició sus operaciones en septiembre de 2011.
● Se descubrió por primera vez en junio de 2012, como resultado del profundo análisis e investigación de Flame, gracias a las fuertes semejanzas entre ambos.
● La infraestructura C&C de Gauss se cerró en julio de 2012, poco después de su descubrimiento. Actualmente, el software malicioso se encuentra en estado latente, en espera de un servidor C&C para reactivarse.
● Desde finales de mayo de 2012, se han registrado más de 2.500 infecciones desde el sistema de seguridad de Kaspersky Lab basado en la nube, por lo que el número total estimado de víctimas de Gauss probablemente alcance decenas de miles de personas. Este número es menor en comparación con Stuxnet, pero es significativamente mayor que el de ataques de Flame y Duqu.
● Gauss roba información detallada de equipos infectados, incluyendo el historial del navegador, cookies, contraseñas y configuraciones del sistema. También es capaz de robar credenciales de acceso para los distintos sistemas de banca online y métodos de pago.
● El análisis de Gauss indica que fue diseñado para robar datos de varios bancos libaneses, incluido el Banco de Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. Además, está dirigido a usuarios de Citibank y de PayPal.
La investigación reveló que los primeros ataques de Gauss datan de septiembre de 2011 y en julio de 2012, sus servidores dejaron de funcionar. Varios módulos de Gauss servían para recolectar información de los navegadores, incluyendo el historial de sitios web visitados y las contraseñas. Los datos sobre el equipo infectado se enviaban a los atacantes, incluyendo detalles de las interfaces de red, discos informáticos y la información del BIOS.
El módulo de Gauss es también capaz de robar datos de clientes de varios bancos libaneses, incluido el Banco de Beirut, EBLF, BlomBank, ByblosBank, FRANSABANK y Credit Libanais. También apunta a usuarios de Citibank y PayPal.
Otra característica fundamental de Gauss es su capacidad para infectar memorias USB, utilizando la vulnerabilidad LNK, la misma que se utilizó anteriormente en Stuxnet y Flame.
Sin embargo, el proceso de infección de memorias USB es más inteligente ya que Gauss es capaz de “desinfectar” la unidad en ciertas circunstancias y utilizar estos dispositivos extraíbles para almacenar la información recopilada en un archivo oculto.
Otra peculiaridad del troyano es su capacidad para instalar una fuente especial que se llama Palida Narrow, aunque la intención de esta acción aún se desconoce. Aunque Gauss es similar a Flame en su diseño, la geografía de las infecciones es sensiblemente diferente. La mayoría de los ordenadores afectados por Flame se registraron en Irán y los de Gauss se encuentran en el Líbano. El número de infecciones también es diferente. Según las bases de Kaspersky Security Network (KSN), Gauss lleva infectadas alrededor de 2.500 equipos. En comparación, Flame fue significativamente menor, infectando unos 700.
Alexander Gostev, Director Experto en Seguridad de Kaspersky Lab, comenta: “Gauss contiene semejanzas sorprendentes con Flame, como su diseño y base de código, lo que nos ha permitido descubrir el programa malicioso. Al igual que Flame y Duqu, Gauss es un complejo conjunto de herramientas de ciberespionaje, que pone especial atención en operar con sigilo y en secreto. Sin embargo, su propósito es diferente, ya que Gauss se dirige a múltiples usuarios en países seleccionados con la finalidad de robar grandes cantidades de datos, con un enfoque específico en información bancaria y financiera”.
En la actualidad, el troyano Gauss se detecta como Trojan-Spy.Win32.Gauss.
Mas info en toolkit-targeting-lebanese-banks-related-stuxnet-flame
Aconsejamos ver también http://dottech.org/tech-news/75712/new-state-sponsored-malware-gauss-hits-paypal-and-banks-was-created-by-the-makers-of-flame-and-stuxnet/
NOTA IMPORTANTE:
Se recuerda que la vulnerabilidad LNK en los pendrives, utilizada en este virus, como anteriormente en el STUXNET, no la protege en ELIPEN, dado que no utiliza el AUTORUN.INF para autoejecutarse, lo cual se avisa para evitar malos entendidos.
saliudos
ms, 11-8-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.