Gauss может красть информацию у ряда ливанских банков. Кроме того, его целью являются клиенты Citibank и пользователи PayPal. Фото: СФН

«Лаборатория Касперского» обнаружила на Ближнем Востоке еще одну сложную вредоносную программу, которую эксперты отнесли к классу кибероружия. Как сообщили в пресс-службе компании, особенность нового «троянца» состоит в том, что он, помимо прочего шпионского функционала, направлен на кражу финансовой информации пользователей зараженных компьютеров.

Gauss скрытно пересылает на серверы управления пароли, введенные или сохраненные в браузере, файлы cookie, а также подробности конфигурации инфицированной системы. «Наличие в Gauss функционала банковского «троянца» является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия», — говорится в сообщении лаборатории.

Gauss был обнаружен в ходе кампании, инициированной Международным союзом электросвязи (ITU) после выявления сложной вредоносной программы Flame. Обнаружение Gauss стало возможным благодаря наличию в «троянце» ряда черт, объединяющих его с Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.

Основной шпионский модуль новой вредоносной программы был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы «троянца» также носят имена известных математиков — Жозефа Луи Лагранжа и Курта Геделя. Исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011г. Однако командные серверы вредоносной программы прекратили свою работу только в июле 2012 г.

Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS.

«Троянец» Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.

Еще одной важной особенностью Gauss является то, что он заражает USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame. Однако процесс инфицирования флешек отличается от предшественников наличием определенной интеллектуальной составляющей. Так, используя съемный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные. Еще одной характерной чертой «троянца» является установка специального шрифта Palida Narrow. Однако ее смысл пока не ясен.

Несмотря на то, что Gauss и Flame имеют много общего по своей структуре, их география заражения серьезно разнится. Максимальное количество компьютеров, пораженных Flame, приходится на Иран, тогда как большинство жертв Gauss находится в Ливане. Число зараженных также значительно отличается.

По данным «облачной» системы мониторинга Kaspersky Security Network, Gauss заразил порядка 2,5 тыс. компьютеров, в то время как жертв Flame было всего около 700. Три основные страны, подвергшиеся заражению Gauss, — Ливан, Израиль и Палестина.

Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Однако стоит отметить, что, так же как и у более ранних кибершпионов, процесс распространения «троянца» является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным, указали в «Лаборатории Касперского».

 Приобрести Антивирус Касперского можно в Адвантер ЛВТИ.

Если у Вас появились вопросы по статье или остались нерешенные проблемы обсудить их Вы можете на Форуме 1С Вопросы и ответы 

Оцените статью: