Kaspersky Lab ontdekt ‘Gauss’ – een nieuwe, complexe cyberbedreiging ontworpen om internetbankieren te monitoren

09 aug 2012
Virus News

Kaspersky Lab maakt de ontdekking van 'Gauss' bekend, een nieuwe cyberbedreiging die is gericht op gebruikers in het Midden-Oosten. Het gaat om een complexe cyberspionage-toolkit die in opdracht van een natiestaat is ontwikkeld en ten doel heeft om gevoelige informatie te stelen. De nadruk ligt daarbij op wachtwoorden voor browsers, aanmeldingsgegevens voor internetbankieren, cookies en specifieke configuraties op geïnfecteerde computers.

De 'online banking Trojan-functionaliteit' die in Gauss werd gedetecteerd is een uniek kenmerk dat nog niet eerder in cyberwapens werd aangetroffen.

Gauss werd ontdekt tijdens werkzaamheden in het kader van een onderzoeksprogramma van de International Telecommunication Union (ITU). Dit onderzoeksinitiatief werd gestart na de ontdekking van Flame en heeft ten doel om de risico's van cyberoorlogvoering terug te dringen, een belangrijke stap op weg naar het realiseren van de uiteindelijke doelstelling van wereldwijde cybervrede.

Gesteund door de expertise van Kaspersky Lab treft ITU belangrijke maatregelen om de wereldwijde cyberbeveiliging te versterken. Hiertoe gaat het actieve samenwerkingen aan met alle relevante betrokkenen, waaronder overheden, het bedrijfsleven, internationale organisaties en de burgermaatschappij en zijn strategische partners binnen het ITU-IMPACT-initiatief.

De experts van Kaspersky Lab kwamen op het spoor van Gauss toen ze kenmerken ontdekten die deze malware deelt met Flame. Gauss en Flame maken namelijk gebruik van dezelfde architectuurplatforms, modulestructuren, codebase en technieken voor de communicatie met command & control (C&C)-servers.

Feiten in het kort:

  • Analyse laat zien dat de activiteiten van Gauss ergens in september 2011 zijn begonnen.
  • Het werd voor het eerst ontdekt in juni 2012, dankzij de kennis die vergaard is tijdens de diepgaande analyse en onderzoek met betrekking tot de Flame malware.
  • De ontdekking was mogelijk door de grote overeenkomsten en samenhang tussen Flame en Gauss.
  • De C&C-infrastructuur van Gauss is in juli 2012 kort na de ontdekking neergehaald.
  • Op dit moment is de malware in een 'slaapstand' en wacht op het moment dat zijn C&C-servers weer actief worden.
  • Sinds laat mei 2012 zijn er meer dan 2.500 infecties waargenomen door Kaspersky Lab's op cloud gebaseerde beveiligingssysteem. Het geschatte aantal slachtoffers van Gauss loopt waarschijnlijk in de tienduizenden. Dit aantal is lager vergeleken met de slachtoffers van Stuxnet, maar aanzienlijk hoger dan het aantal aanvallen van Flame en Duqu.
  • Gauss steelt gedetailleerde informatie over geïnfecteerde PC's inclusief browsergeschiedenis, cookies, paswoorden en systeemconfiguraties. Het is ook in staat toegangsgegevens voor verschillende systemen voor internetbankieren en betaalmethodes te stelen.
  • Analyse van Gauss laat zien dat het is ontwikkeld om data te stelen van verschillende Libanese banken inclusief de Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank en Credit Libanais. Daarnaast richt het zich op gebruikers van Citibank en PayPal.

Voor het volledige Engelstalige persbericht klik hier.

Experts van Kaspersky Lab hebben een diepgaande analyse van de malware gepubliceerd op Securelist.com: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

Een Gauss FAQ met essentiële informatie over de dreiging is beschikbaar via: http://www.securelist.com/en/blog?weblogid=208193767

Updates kan je vinden op onze Facebook-pagina: https://www.facebook.com/Kaspersky?ref=ts

 DEZE PAGINA DELEN