Kaspersky Lab descobre 'Gauss' - uma nova ciber-ameaça que monitoriza contas bancárias online

Kaspersky Lab descobre 'Gauss' - uma nova ciber-ameaça que monitoriza contas bancárias online

09 ago 2012
Notícias de Vírus

A Kaspersky Lab anuncia a descoberta de Gauss, uma nova ciber-ameaça cujo alvo são utilizadores do Médio Oriente. O Gauss é um conjunto de complexas ferramentas criadas por um Estado para levar a cabo tarefas de ciber-espionagem e roubo de dados confidenciais, com especial foco em passwords, credenciais de contas bancárias online, cookies e configurações específicas dos equipamentos infectados. A funcionalidade do Trojan bancário Gauss tem características únicas que não se encontram em nenhuma outra ciber-arma descoberta anteriormente.

O Gauss foi descoberto durante uma investigação iniciada pela agência das Nações Unidas para a Informação e Comunicação Tecnológica (ITU), depois de detectar o Flame. As investigações da ITU têm por objectivo mitigar os riscos derivados das ciber-armas, um componente chave na consecução de um objectivo global em matéria de paz. A ITU, aliando-se à experiência da Kaspersky Lab, está a dar importantes passos para fortalecer a segurança geral através da colaboração activa com todas as partes implicadas no processo, tais como governos, sector privado, organizações internacionais e sociedade civil, além dos seus principais parceiros dentro da iniciativa ITU-IMPACT.

Analistas da Kaspersky Lab descobriram o Gauss através da identificação de pontos em comum com outros programas maliciosos como o Flame, já que inclui plataformas de arquitectura, estruturas modulares, códigos de base e sistemas de comunicação com os servidores de comando e controlo (C&C) similares.

Principais descobertas:

  • A análise ao Gauss indica que iniciou as suas operações em Setembro de 2011.
  • Foi detectado pela primeira vez em Junho de 2012, como resultado de uma profunda análise e investigação ao Flame, graças às fortes semelhanças entre ambas.
  • A infra-estrutura C&C do Gauss foi encerrada em Julho de 2012, pouco depois da sua descoberta. Actualmente, o software malicioso encontra-se em estado latente, à espera de um servidor C&C para se poder reactivar.
  • Desde finais de Maio de 2012 foram registadas mais de 2500 infecções no sistema de segurança na nuvem da Kaspersky Lab, pelo que o número total estimado de vítimas do Gauss deve provavelmente atingir as dezenas de milhares de pessoas. Este número é menor em comparação com o Stuxnet, mas é significativamente maior que o número de ataques do Flame e do Duqu.
  • O Gauss rouba informação detalhada de equipamentos infectados, incluindo o historial do navegador, cookies, passwords e configurações do sistema. Também é capaz de roubar credenciais de acesso aos diferentes sistemas de banca online e métodos de pagamento.
  • A análise ao Gauss indica que foi concebido para roubar dados de vários bancos libaneses, incluído o Banco de Beirut, o EBLF, BlomBank, ByblosBank, FransaBank e Credit Libanais. Além disso, tem como alvos clientes do Citibank e do PayPal.

A investigação revelou que os primeiros ataques do Gauss datam de Setembro de 2011 e, em Julho de 2012, os seus servidores deixaram de funcionar. Vários módulos do Gauss serviam para recolher informação dos browsers, incluindo o historial de sites visitados e as passwords. Os dados sobre o equipamento infectado eram enviados aos atacantes, incluindo detalhes das interfaces de rede, dos discos e a informação da BIOS.

Outra característica fundamental do Gauss é a sua capacidade de infectar memórias USB, utilizando a vulnerabilidade LNK, a mesma que foi usada anteriormente no Stuxnet e no Flame. Ainda que o processo de infecção de memórias USB seja mais inteligente, já que o Gauss é capaz de "desinfectar" a unidade em determinadas circunstâncias e utilizar estes dispositivos amovíveis para armazenar a informação reunida num ficheiro oculto.

Outra particularidade deste Trojan é a sua capacidade de instalar uma fonte especial que se chama Palida Narrow, ainda que a intenção desta acção ainda seja desconhecida. Ainda que o Gauss seja similar ao Flame na sua concepção, a geografia das infecções é sensivelmente diferente. A maioria dos computadores afectados pelo Flame estava no Irão e os do Gauss encontram-se no Líbano. O número de infecções também é diferente. Segundo as bases da Kaspersky Security Network (KSN), o Gauss já infectou cerca de 2500 equipamentos. Em comparação, o Flame foi significativamente menor, infectando cerca de 700. Alexander Gostev, Director de Segurança da Kaspersky Lab, comenta: "O Gauss contém semelhanças surpreendentes com o Flame, como o seu desenho e a base do código, o que nos permitiu descobrir o programa malicioso. Tal como o Flame e o Duqu, Gauss é um complexo conjunto de ferramentas de ciber-espionagem, que opera com sigilo e em segredo. No entanto, o seu propósito é diferente, já que o Gauss dirige-se a múltiplos utilizadores em países seleccionados, com a finalidade de roubar grandes quantidades de dados, com um enfoque específico em informação bancária e financeira".

Actualmente, os produtos de segurança da Kaspersky Lab já detectam e bloqueiam o Trojan Gauss, classificado como Trojan-spy.win32.gauss. Analistas da companhia publicaram uma análise em profundidade ao malware que pode ser lida em Securelist.com:
http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

As perguntas mais frequentes sobre o Gauss, bem como informação essencial a respeito desta ameaça também estão disponíveis em:
http://www.securelist.com/en/blog?weblogid=208193767

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.