´Gaus´ es una nueva y compleja amenaza informática diseñada para monitorear cuentas bancarias en línea, especialmente en el Medio Oriente, informó Kaspersky Lab.
Kaspersky Lab, informa que "Gauss", es una nueva amenaza informática que afecta a los usuarios en el Medio Oriente; una herramienta de espionaje informático financiada por un estado nacional y diseñada para robar datos sensitivos, en especial contraseñas del navegador de Internet, credenciales de banca en línea, “cookies” y datos específicos de configuración de los equipos infectados.
Gauss fue descubierta durante la labor iniciada por la Union Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), después del descubrimiento de Flame.
Los expertos de Kaspersky Lab descubrieron Gauss al analizar e identificar sus rasgos comunes con Flame. Entre ellos: la plataforma similar de arquitectura, la estructura modular, las bases del código fuente y los métodos de comunicación con los servidores de administración.
Datos básicos:
● El análisis indica que Gauss empezó a operar en septiembre de 2011.
● Se descubrió en junio de 2012 gracias a los conocimientos adquiridos durante el análisis e investigación profundos del programa malicioso Flame.
● Este descubrimiento fue posible gracias a las estrechas similitudes y correlaciones entre Flame y Gauss.
● La infraestructura de los servidores de administración de Gauss se desactivó en julio de 2012, poco después de su descubrimiento. En este momento el programa malicioso está en un estado de letargo, esperando que sus servidores de administración se pongan en funcionamiento.
● Desde finales de mayo de 2012 el sistema de seguridad “en la nube” de Kaspersky Lab registró más de 2.500 infecciones, pero el número total de víctimas de Gauss asciende a decenas de miles. Este número es menor al de Stuxnet, pero es mucho mayor que el número de ataques de Flame y Duqu.
● Gauss roba información detallada sobre los PC infectados, que incluye la historia del navegador, las “cookies”, contraseñas y configuraciones del sistema. También es capaz de robar las credenciales de acceso a varios sistemas de banca y de pago online.
● El análisis de Gauss muestra que fue diseñado para robar datos de varios bancos libaneses, entre ellos Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. También afecta a los usuarios de Citibank y PayPal.
Los desconocidos creadores bautizaron el módulo principal con el nombre del matemático alemán Johann Carl Friedrich Gauss. Los demás componentes también llevan nombres de matemáticos famosos, como Joseph-Louis Lagrange y Kurt Gödel. La investigación de kaspersky reveló que los primeros incidentes provocados por Gauss datan de principios de septiembre de 2011. En julio de 2012 los servidores de administración de Gauss dejaron de funcionar.
Los múltiples módulos de Gauss tienen el propósito de recolectar información de los navegadores, entre ella la historia de las páginas web visitadas y las contraseñas usadas. También envían a los atacantes datos detallados de los equipos infectados, incluyendo información específica de las interfaces de red, los discos de la computadora e información del BIOS.
Otra característica clave de Gauss es la habilidad de infectar memorias USB aprovechando la misma vulnerabilidad LNK que usaron Stuxnet y Flame. El proceso de infectar memorias USB es más inteligente. Gauss puede “desinfectar” la memoria bajo ciertas circunstancias y la usa para guardar la información recolectada en un fichero oculto. Otra actividad del troyano es instalar una especie de fuente especial llamada Palida Narrow, pero todavía se desconoce con qué propósito.
A pesar de que el diseño de Gauss es similar al de Flame, la geografía de infección es notablemente diferente. El mayor número de computadoras afectadas por Flame se registró en Irán, mientras que la mayoría de las víctimas de Gauss está localizada en Líbano. También es diferente el número de infecciones. Según la telemetría reportada por Kaspersky Security Network (KSN), Gauss ha infectado unos 2.500 equipos. En comparación, los equipos infectados por Flame fueron menos de 700.
A pesar de que todavía se desconoce el método exacto usado para infectar los equipos, está claro que Gauss se propaga de una forma diferente a la de Flame o Duqu. Sin embargo, al igual que estas dos armas de espionaje informático, los mecanismos de propagación de Gauss funcionan bajo cierto control, lo que realza la naturaleza camuflada y secreta de la operación.
En la actualidad, los productos de Kaspersky Lab detectan, neutralizan y curan las consecuencias de los ataques del troyano Gauss y lo clasifican como Spy.Win32.Gauss.
Los expertos de la compañía han publicado un análisis en profundidad del malware en Securelist.com: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution
También está disponible una lista de preguntas frecuentes que contiene información esencial sobre la amenaza: http://www.securelist.com/en/blog?weblogid=208193767
Acerca de Kaspersky Lab
A lo largo de sus 15 años de historia, Kaspersky Lab ha mantenido su posición como innovador de seguridad IT y ofrece soluciones de seguridad digital efectivas para consumidores, pequeñas y medianas compañías y corporaciones. La compañía actualmente opera en casi 200 países y territorios alrededor del globo, ofreciendo protección a más de 300 millones de usuarios a nivel mundial. Obtenga más información en www.kaspersky.com.
---------------------------------------
ENLINEAPUNTOCOM es un programa que se trasmite por RPP Noticias los sábados desde las 5:00 pm y los domingos a partir de las 10:00 pm con la conducción de Julio Santos, José Fuertes y la colaboración de Mario Chilo.
Comparte esta noticia