Лаборатория Касперского: Обнаружен банковский троян государственного масштаба

Специалисты Лаборатории Касперского обнаружили на Ближнем Востоке сложную вредоносную программу, которую отнесли к классу кибероружия. Новый троян Gauss направлен на кражу финансовой информации пользователей зараженных компьютеров. Троян скрытно пересылает на сервера управления:

  • пароли. введенные или сохраненные в браузере;
  • файлы cookie;
  • подробности конфигурации инфицированной системы.

В Gauss присутствует функционал банковского трояна, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия .

Обнаружение Gauss экспертами Лаборатории Касперского стало возможным благодаря наличию в трояне ряда черт, объединяющих его со сложной вредоносной программой Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.

Вредоносная программа была обнаружена в июне 2012 года. Ее основной шпионский модуль был назван создателями в честь немецкого математика Иоганна Карла Фридриха Гаусса. Первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012 года.

Многочисленные модули Gauss предназначены для:

  • Сбора информации. содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах.
  • Получения детальной информации о зараженном компьютере.
  • Получения подробностей о сетевых интерфейсах. дисковых накопителях, а также данные BIOS.
  • Кражи конфиденциальной информации у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.

Три основные страны, подвергшиеся заражению Gauss

Еще одна важная особенность Gauss - способность заражать USB-накопители, используя ту же самую уязвимость, что и Stuxnet. и Flame. Однако процесс инфицирования флэшек отличается от предшественников наличием определенной интеллектуальной составляющей. Так, используя съемный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные. Еще одна характерная черта трояна - установка специального шрифта Palida Narrow. Однако ее смысл пока не ясен.

Несмотря на схожесть по своей структуре Gauss и Flame, их география заражения серьезно разнится. Максимальное количество компьютеров, пораженных Flame, приходится на Иран, тогда как большинство жертв Gauss находится в Ливане. Число зараженных также значительно отличается. По данным облачной системы мониторинга Kaspersky Security Network, Gauss заразил порядка 2,5 тысяч компьютеров, в то время как жертв Flame было всего около 700.

Эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Однако стоит отметить, что также как и у более ранних кибершпионов процесс распространения трояна является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным.

Gauss очень похож на Flame по структуре и коду, что и позволило его обнаружить. Он представляет собой сложную программу, предназначенную для ведения кибершпионажа с особым акцентом на скрытность действий. Однако цели его совсем иные. Gauss заражает пользователей в четко определенных странах и крадет большие объемы данных. Причем особый интерес для него представляет финансовая информация.

В настоящее время Лаборатория Касперского успешно детектирует, блокирует и удаляет трояна Gauss, который в антивирусной базе классифицируется, как Trojan-Spy.Win32.Gauss .

Источник: it-sektor.ru

Категория: Безопасность

Похожие статьи: