Kaspersky Lab anuncia el descubrimiento de ‘Gauss’, una nueva amenaza informática que afecta a los usuarios en el Medio Oriente. Gauss es una herramienta de espionaje informático financiada por un estado nacional y diseñada para robar datos sensitivos, en especial contraseñas del navegador de Internet, credenciales de banca en línea, “cookies” y datos específicos de configuración de los equipos infectados.
La función de troyano bancario encontrada en Gauss es una característica única, que nunca antes había sido detectada en las armas informáticas conocidas.
Gauss fue descubierta durante la labor iniciada por la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), después del descubrimiento de Flame. El esfuerzo tiene el objetivo de mitigar los riesgos representados por las armas informáticas, tarea clave en el objetivo global de la paz informática.
Kaspersky Lab descubrió Gauss al analizar e identificar sus rasgos comunes con Flame</strong>. Entre ellos: la plataforma similar de arquitectura, la estructura modular, las bases del código fuente y los métodos de comunicación con los servidores de administración.
Datos básicos:
● El análisis indica que Gauss empezó a operar en septiembre de 2011
● Se descubrió en junio de 2012 gracias a los conocimientos adquiridos durante el análisis e investigación profundos del programa malicioso Flame
● Este descubrimiento fue posible gracias a las estrechas similitudes y correlaciones entre Flame y Gauss
● La infraestructura de los servidores de administración de Gauss se desactivó en julio de 2012, poco después de su descubrimiento. En este momento el programa malicioso está en un estado de letargo, esperando que sus servidores de administración se pongan en funcionamiento
● Desde finales de mayo de 2012 el sistema de seguridad “en la nube” de Kaspersky Lab registró más de 2.500 infecciones, pero el número total de víctimas de Gauss asciende a decenas de miles. Este número es menor al de Stuxnet, pero es mucho mayor que el número de ataques de Flame y Duqu
● Gauss roba información detallada sobre los PC infectados, que incluye la historia del navegador, las “cookies”, contraseñas y configuraciones del sistema. También es capaz de robar las credenciales de acceso a varios sistemas de banca y de pago online
● El análisis de Gauss muestra que fue diseñado para robar datos de varios bancos libaneses, entre ellos Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. También afecta a los usuarios de Citibank y PayPal.
Los desconocidos creadores bautizaron el módulo principal con el nombre del matemático alemán Johann Carl Friedrich Gauss. Los demás componentes también llevan nombres de matemáticos famosos, como Joseph-Louis Lagrange y Kurt Gödel. La investigación reveló que los primeros incidentes provocados por Gauss datan de principios de septiembre de 2011. En julio de 2012 los servidores de administración de Gauss dejaron de funcionar.
Los múltiples módulos de Gauss tienen el propósito de recolectar información de los navegadores, entre ella la historia de las páginas web visitadas y las contraseñas usadas. También envían a los atacantes datos detallados de los equipos infectados, incluyendo información específica de las interfaces de red, los discos de la computadora e información del BIOS. El módulo de Gauss también puede robar datos de los clientes de varios bancos libaneses, entre ellos Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. También tiene como blanco a los usuarios de Citibank y PayPal.
Otra característica clave de Gauss es la habilidad de infectar memorias USB aprovechando la misma vulnerabilidad LNK que usaron Stuxnet y Flame. El proceso de infectar memorias USB es más inteligente. Gauss puede “desinfectar” la memoria bajo ciertas circunstancias y la usa para guardar la información recolectada en un fichero oculto. Otra actividad del troyano es instalar una especie de fuente especial llamada Palida Narrow, pero todavía se desconoce con qué propósito.
A pesar de que el diseño de Gauss es similar al de Flame, la geografía de infección es notablemente diferente. El mayor número de computadoras afectadas por Flame se registró en Irán, mientras que la mayoría de las víctimas de Gauss está localizada en Líbano. También es diferente el número de infecciones. Según la telemetría reportada por Kaspersky Security Network (KSN), Gauss ha infectado unos 2.500 equipos. En comparación, los equipos infectados por Flame fueron menos de 700.
A pesar de que todavía se desconoce el método exacto usado para infectar los equipos, está claro que Gauss se propaga de una forma diferente a la de Flame o Duqu. Sin embargo, al igual que estas dos armas de espionaje informático, los mecanismos de propagación de Gauss funcionan bajo cierto control, lo que realza la naturaleza camuflada y secreta de la operación.
Alexander Gostev, Jefe de Expertos en Seguridad de Kaspersky Lab, comenta: “Las grandes similitudes de Gauss con Flame, como su diseño y el código base, nos han permitido descubrir este programa malicioso. Al igual que Flame y Duqu, Gauss es un complejo conjunto de herramientas de espionaje informático, con un diseño que hace hincapié en camuflarse y pasar desapercibido, pero su objetivo es diferente. Gauss apunta a múltiples usuarios en países seleccionados y roba grandes cantidades de información, sobre todo bancaria y financiera”.
La empresa ha publicado un análisis en profundidad del malware en Securelist.com: http://www.securelist.com/en/
También está disponible una lista de preguntas frecuentes que contiene información esencial sobre la amenaza: http://www.securelist.com/en/