На Ближнем Востоке обнаружено новое кибероружие

Троянец получил название Gauss (в честь немецкого математика Иоганна Карла Фридриха Гаусса) и отличается тем, что кроме стандартного шпионского функционала способен похищать финансовые данные пользователей. В частности, троян скрытно пересылает на сервера управления различные пароли из браузеров, файлы cookie и подробности о зараженной системе.
По словам представителей компании, наличие в Gauss функционала банковского троянца является уникальным случаем, так как ранее подобное никогда не встречалось среди вредоносных программ, которые относились к классу кибероружия.
Обнаружен троян был во время кампании, инициированной Международным союзом электросвязи (International Telecommunication Union) после выявления Flame. Основной задачей данной кампании является уменьшение рисков, связанных с применением кибероружия, а также сохранение мира в киберпространстве.
Обнаружение Gauss экспертами компании стало возможным благодаря наличию в троянце ряда черт, которые объединяют его со сложной вредоносной программой Flame. В частности, речь идет о схожести архитектуры, модульной структуре и способах связи с командными серверами.
Отметим, что помимо основного шпионского модуля (Gauss), другие файлы этого троянца также получили имена таких известных математиков, как Жозеф Луи Лагранж и Курт Гедель.
Согласно результатам исследования компании, первые случаи заражения Gauss произошли еще в сентябре текущего года, но управляющие сервера вредоносной программы прекратили свою работу только в июле 2012 года.
Фото с сайта kaspersky.ru
Gauss имеет множество модулей, которые предназначены для:
- сбора информации в браузерах (история, пароли, онлайн-сервисы и т. д.)
- получение данных о зараженном компьютере (сетевые интерфейсы, накопители, данные BIOS).
- кража конфиденциальной информации у клиентов нескольких ливанских банков. Также его целью являются клиенты Citibank и пользователи PayPal.
Среди других особенностей данного вредоносного ПО специалисты выделяют возможность заражения им USB-накопителей (та же самая уязвимость, что использовали Stuxnet и Flame). Стоит отметить, что здесь процесс инфицирования флэшек отличается от предшественников тем, что имеется определенная интеллектуальная составляющая - используя съемный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные.
Также троянец может установить специальный шрифт Palida Narrow, но в настоящее время смысл этого специалистам непонятен.
Несмотря на то, что Gauss и Flame имеют много общего по своей структуре, география их заражения очень сильно отличается. Например, максимальное количество зараженных компьютеров, пораженных Flame, приходится на Иран, а большинство жертв Gauss - в Ливане.
Что касается числа заражений, то, согласно данным облачной системы мониторинга Kaspersky Security Network, Gauss поразил около 2500 компьютеров, а Flame - около 700.
Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu, но отмечается, что, так же как и у более ранних кибершпионов, процесс распространения троянца является строго контролируемым, а это говорит о намерении оставаться незамеченным как можно дольше.
Комментарии читателей Оставить комментарий