Desde que el jueves pasado, 9 de agosto, la firma Kaspersky Lab diera a conocer el troyano "Gauss" (una nueva ciberamenaza que monitoriza cuentas bancarias online) se han ido conociendo más aspectos sobre dicha ciberamenaza. Según la propia compañía rusa, Gauss es un conjunto de complejas herramientas creadas por un Estado para llevar a cabo labores de ciberespionaje y robo de datos confidenciales (principalmente usuarios de Oriente Próximo), con especial foco en contraseñas del navegador, credenciales de cuentas bancarias online, cookies y configuraciones específicas de los equipos infectados.
Gauss fue descubierto durante una investigación iniciada por la agencia de Naciones Unidas para la Información y la Comunicación Tecnológica (ITU), mediante la identificación de puntos en común con otros programas maliciosos como Flame, ya que incluye plataformas de arquitectura, estructuras modulares, códigos de base y sistemas de comunicación con los servidores de comando y control (C&C) similares.
El análisis de Gauss, y según Kaspersky, indica que fue diseñado para robar datos de varios bancos libaneses, incluido el Banco de Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. Además, está dirigido a usuarios de Citibank y de PayPal. La investigación reveló que los primeros ataques de Gauss datan de septiembre de 2011 y en julio de 2012, sus servidores dejaron de funcionar. Varios módulos de Gauss servían para recolectar información de los navegadores, incluyendo el historial de sitios web visitados y las contraseñas. Los datos sobre el equipo infectado se enviaban a los atacantes, incluyendo detalles de las interfaces de red, discos informáticos y la información del BIOSю.
El módulo de Gauss es también capaz de robar datos de clientes de varios bancos libaneses, incluido el Banco de Beirut, EBLF, BlomBank, ByblosBank, FRANSABANK y Credit Libanais. También apunta a usuarios de Citibank y PayPal. Otra característica fundamental de Gauss es su capacidad para infectar memorias USB, utilizando la vulnerabilidad LNK, la misma que se utilizó anteriormente en Stuxnet y Flame. Sin embargo, el proceso de infección de memorias USB es más inteligente ya que Gauss es capaz de "desinfectar" la unidad en ciertas circunstancias y utilizar estos dispositivos extraíbles para almacenar la información recopilada en un archivo oculto. Otra peculiaridad del troyano es su capacidad para instalar una fuente especial que se llama Palida Narrow, aunque la intención de esta acción aún se desconoce.
Aunque Gauss es similar a Flame en su diseño, la geografía de las infecciones es sensiblemente diferente. La mayoría de los ordenadores afectados por Flame se registraron en Irán y los de Gauss se encuentran en el Líbano. El número de infecciones también es diferente. Según las bases de Kaspersky Gauss lleva infectadas alrededor de 2.500 equipos. En comparación, Flame fue significativamente menor, infectando unos 700.
En la actualidad, el troyano Gauss se detecta y bloquea por los productos de Kaspersky Lab, clasificado como Trojan-Spy.Win32.Gauss. Otra empresa, CrySys (Cryptography and System Security), también ha desarrollado herramientas de detección para este troyano y está de acuerdo en que lo que hay que buscar es una fuente conocida como "Palida Narrow" que el malware añade para infectar las máquinas.
Más información:
Preguntas más frecuentes sobre Gauss
