Gauss foi concebido para roubar dados de vários bancos libaneses, mas também tem como alvos usuários do Paypal e clientes Citibank
A Kaspersky Lab anunciou a descoberta de Gauss, uma nova ciberameaça cujo alvo são usuários do Oriente Médio. Gauss é uma ferramenta de ciberespionagem criada e mantida por um Estado para tarefas de espionagem e roubo de dados confidenciais, com especial foco em senhas, credenciais de contas bancárias online, cookies e configurações específicas dos equipamentos infectados. A funcionalidade do Trojan bancário Gauss tem características únicas que não se encontram em nenhuma outra ciberarma descoberta anteriormente.
O Gauss foi descoberto em uma investigação iniciada pela agência das Nações Unidas para a Informação e Comunicação Tecnológica (ITU), depois de detectar o Flame. As investigações da ITU querem revelar os riscos das ciberarmas como um componente-chave na guerra contra o terrorismo global. A ITU, aliando-se à experiência da Kaspersky Lab, está tomando decisões importantes para fortalecer a segurança geral através da colaboração ativa com todas as partes envolvidas no processo, tais como governos, setor privado, organizações internacionais e sociedade civil, além dos seus principais parceiros dentro da iniciativa ITU-IMPACT.
Analistas da Kaspersky Lab descobriram o Gauss através da identificação de pontos em comum com outras pragas como o Flame, já que inclui plataformas de arquitetura, estruturas modulares, códigos de base e sistemas de comunicação com os servidores de comando e controle (C&C) similares.
Principais descobertas:
A análise indica que o Gauss apareceu em setembro de 2011, sendo detectado em junho de 2012, como resultado de uma profunda investigação do Flame, devido às fortes semelhanças entre ambos.
• A infraestrutura C&C do Gauss foi encerrada em Julho de 2012, pouco depois da sua descoberta. Atualmente, o malware encontra-se em estado dormente, à espera de um servidor C&C para poder reativar-se.
• Desde o final de maio de 2012, foram registadas mais de 2.500 infecções no sistema de segurança em nuvem da Kaspersky Lab. O número total estimado de vítimas deve ultrapassar dezenas de milhares – número inferior ao Stuxnet, mas é significativamente maior que o número de ataques do Flame e do Duqu.
• O Gauss rouba informações detalhadas de equipamentos infectados, incluindo o histórico do navegador, cookies, senhas e configurações do sistema. Também é capaz de roubar credenciais de acesso aos diferentes sistemas de banco online e métodos de pagamento.
• A análise ao Gauss indica que ele foi concebido para roubar dados de vários bancos libaneses, incluído o Banco de Beirut, o EBLF, BlomBank, ByblosBank, FransaBank e Credit Libanais. Além disso, tem como alvos clientes do Citibank e do PayPal.
A investigação revelou que os primeiros ataques do Gauss remontam setembro de 2011 e, em julho de 2012, os seus servidores deixaram de funcionar. Vários módulos do Gauss serviam para recolher informação dos browsers, incluindo o histórico de sites visitados e senhas. Os dados sobre o equipamento infectado eram enviados aos responsáveis pelos ataques, incluindo detalhes das interfaces de rede, dos discos e a informação da BIOS.
Outra característica fundamental do Gauss é a sua capacidade de infectar Pen Drives, utilizando a vulnerabilidade LNK – a mesma utilizada pelo Stuxnet e Flame. Ainda que o processo de infecção de memórias USB seja mais inteligente, já que o Gauss é capaz de “desinfectar” a unidade em determinadas circunstâncias e utilizar estes dispositivos removíveis para armazenar a informação em arquivos ocultos.
Outra particularidade deste Trojan é a sua capacidade de instalar uma fonte chamada de “Palida Narrow”, – cuja função ainda é desconhecida. Ainda que o Gauss seja semelhante ao Flame, a localização das infecções é diferente. A maioria dos computadores infectados pelo Flame estava no Irã e os do Gauss, no Líbano. O número de infecções também é diferente. Segundo as bases da Kaspersky Security Network (KSN), o Gauss atingiu cerca de 2500 equipamentos. Em comparação, o Flame foi significativamente menor, infectando cerca de 700 computadores.
Segundo Alexander Gostev, diretor de segurança da Kaspersky Lab, o Gauss é semelhante ao Flame, como o seu desenho e a base do código, o que permitiu descobrir o malware. “Tal como o Flame e o Duqu, Gauss é um complexo conjunto de ferramentas de ciber-espionagem, que opera com sigilo e em segredo. No entanto, o seu propósito é diferente, já que o Gauss dirige-se a múltiplos utilizadores em países selecionados, com a finalidade de roubar grandes quantidades de dados, com um enfoque específico em informação bancária e financeira”, afirma.

Fonte: Tech Lider.