sabato 11 agosto 2012

Kaspersky Lab scopre nuova cyberminaccia Gauss, metodo per verificare


Kaspersky Lab annuncia la scoperta di "Gauss", una nuova cyber-minaccia indirizzata ai consumatori in Medio Oriente. Gauss è un complesso tolkit di cyber-spionaggio, sponsorizzato a livello di stato-nazione, progettato per rubare dati sensibili, con un focus specifico sulle password del browser, le credenziali online degli account bancari, cookie, e configurazioni specifiche di macchine infette. La funzionalità trojan dell'on-line banking trovata in Gauss è una caratteristica unica che non è stata trovato in nessuna precedentemente cyber-arma nota.

Gauss è stato scoperto nel corso dello sforzo in corso avviato dall'Internazional Telecommunication Union (ITU), in seguito alla scoperta di Flame. Lo sforzo è volto a mitigare i rischi presentati dalle cyber-armi, che è una componente chiave per conseguire l'obiettivo generale della cyber-pace globale. ITU, con l'esperienza fornita da Kaspersky Lab, sta adottando misure importanti per rafforzare la cyber-sicurezza globale, collaborando attivamente con tutte le parti interessate, come i governi, il settore privato, organizzazioni internazionali e società civile, in aggiunta ai suoi principali partner all'interno dell'inziativa ITU- IMPACT.

Rispetto a Flame, Gauss è meno sofisticato. Manca il modulo LUA su cui è basata l'architettura, ma è comunque molto flessibile. Rispetto ad altri Trojan bancari, sembra essere stato messo a punto, nel senso che non prende di mira centinaia di istituzioni finanziarie, ma un elenco selezionato di istituti bancari on-line. Gli esperti di Kaspersky Lab scoperto Gauss individuando la quota dannosa del programma in comune con Flame. Questi includono piattaforme architettoniche simili, strutture dei moduli, codice base e mezzi di comunicazione con il comando e controllo (C & C) del server.


Fattori rapidi:

  • L'analisi indica che Gauss ha iniziato ad operare nel periodo di tempo di Settembre 2011.
  • E' stato scoperto nel giugno 2012, risultato derivante dalla conoscenza acquisita dalla approfondita analisi e ricerca condotte sul malware Flame.
  • Questa scoperta è stata resa possibile a causa di forti somiglianze e correlazioni tra Flame e Gauss.
  • L'infrastruttura di Gauss C & C è stato arrestata nel luglio 2012 poco dopo la sua scoperta. Attualmente il malware è in uno stato dormiente, in attesa che il suo server C & C diventi attivo.
  • Dalla fine di maggio 2012, più di 2.500 infezioni sono state registrate dal sistema di sicurezza cloud-based di Kaspersky Lab, con il numero totale stimato delle vittime di Gauss probabilmente nell'ordine delle decine di migliaia. Questo numero è inferiore rispetto al caso di Stuxnet, ma è nettamente superiore al numero di attacchi di Flame e Duqu.
  • Gauss ruba le informazioni dettagliate sui PC infetti tra cui la cronologia del browser, i cookie, password e configurazioni di sistema. E' anche in grado di rubare le credenziali di accesso per i vari sistemi di online banking e metodi di pagamento.
  • L'analisi di Gauss mostra che è stato progettato per rubare dati provenienti da diverse banche libanesi tra cui la Bank of Beirut, EBLF, BlomBank, ByblosBank, Fransabank e Credit Libanais. Inoltre, colpisce gli utenti di Citibank e PayPal.


Il nuovo malware è stato scoperto dagli esperti di Kaspersky Lab nel mese di giugno 2012. Il modulo principale è stato chiamato dai creatori sconosciuti successivamente con il nome del matematico tedesco Johann Carl Friedrich Gauss. Altri componenti portano anche i nomi di famosi matematici come Joseph-Louis Lagrange e Kurt Gödel. L'inchiesta ha rivelato che i primi incidenti con dati Gauss sono accaduti già nel settembre 2011. Nel luglio 2012 i server di comando e controllo di Gauss hanno smesso di funzionare.

Più moduli di Gauss hanno lo scopo di raccogliere informazioni dai browser, tra cui la cronologia dei siti Web visitati e password. Anche i dati dettagliati sulla macchina infetta vengono inviati agli attaccanti, tra le quali specifiche delle interfacce di rete, le unità del computer e le informazioni BIOS. Il modulo di Gauss è anche in grado di rubare dati dai clienti di alcune banche libanesi tra cui la Bank of Beirut, EBLF, BlomBank, ByblosBank, Fransabank e Credit Libanais. Si rivolge inoltre agli utenti di Citibank e PayPal.

Un'altra caratteristica fondamentale di Gauss è la capacità di infettare le thumb drive USB, utilizzando la stessa vulnerabilità LNK (CVE-2010-2568) che è stata precedentemente utilizzata in Stuxnet e Flame. Allo stesso tempo, il processo per infettare le chiavette è più intelligente. Gauss è in grado di "disinfettare" il disco in determinate circostanze, e utilizza il supporto rimovibile per memorizzare le informazioni raccolte in un file nascosto. Un'altra attività del Trojan è l'installazione di un carattere speciale chiamato Palida Narrow, e lo scopo di questa azione è ancora sconosciuto.


Mentre Gauss è simile a Flame nel design, la geografia delle infezioni è notevolmente differente. Il più alto numero di computer colpiti da Flame è stata registrata in Iran, mentre la maggior parte delle vittime Gauss si trovavano in Libano. Il numero di infezioni è diverso. Sulla base della telemetria riportata dal Kaspersky Security Network (KSN), Gauss ha infettato circa 2.500 macchine. In confronto, la diffusione di Flame era significativamente più bassa, infettando più di 700 macchine.

Anche se il metodo esatto usato per infettare i computer non è ancora noto, è chiaro che Gauss si propaga in modo diverso a Falme o Duqu, tuttavia, simile alle due precedenti armi di cyber-spionaggio, i meccanismi di diffusione di Gauss sono condotti in un ambiente controllato della moda, che sottolineano furtività e segretezza dell'operazione. Al momento, il Trojan Gauss viene rilevato con successo, bloccato e bonificato dai prodotti Kaspersky Lab, classificato come Trojan-Spy.Win32.Gauss.

Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha commentato: "Gauss ha somiglianze impressionanti Flame, come la progettazione e la base di codice, che ci ha permesso di scoprire il programma dannoso. Simile a Flame e Duqu, Gauss è un complesso toolkit di cyber-spionaggio, sottolineando le sue caratteristiche stealth e furtività, ma il suo scopo è diverso da Flame o Duqu. Gauss si rivolge a più utenti in alcuni paesi per rubare grandi quantità di dati, con un focus specifico sulle informazioni bancarie e finanziarie".

Gli esperti di Securelist.com hanno pubblicato un'approfondita analisi del malware: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution. Una FAQ Gauss contenente le informazioni essenziali sulla minaccia è anche disponibile: http://www.securelist.com/en/blog?weblogid=208193767. Per verificare la presenza di Gauss sulla proprio  PC è disponibile la pagina test http://gauss.crysys.hu/ del noto laboratorio ungherese di ricerca CrySyS. Il modo più affidabile per proteggersi è quello di installare la soluzione antivirus di Kaspersky o utilizzare il free Kaspersky Virus Removal Tool.

Nessun commento:

Posta un commento