Troyano Gauss, dirigido a los bancos libaneses, probablemente la creación de EE.UU.

Los investigadores han encontrado con otra pieza de malware sofisticado de espionaje Medio Oriente orientada, que, al menos, es capaz de robar datos bancarios de inicio de sesión, y, en la más extrema, es otro de Stuxnet .

Apodado Gauss, el malware fue descubierto por los analistas en Rusia basado en Kaspersky Lab, el mismo equipo que detectó la llama virus, que utiliza de clase mundial funcionalidad criptográfica para propagarse e infectar a cientos de máquinas en Irán para recopilar inteligencia. Además, los investigadores encontraron que Gauss, cuyo módulo principal se nombra después del 19 del siglo matemático alemán Carl Friedrich Gauss, fue construido utilizando la misma plataforma que la llama.

Llama, así como Stuxnet, son a la vez cree que las creaciones de colaboración de los Estados Unidos e Israel.

Al igual que la llama, Gauss contiene varios módulos de modo que se puede personalizar para atacar a una víctima en cierto modo, Roel Schouwenberg, un alto anti-virus investigador de Kaspersky, dijo el jueves SCMagazine.com. Hasta ahora, los investigadores sólo han recogido idea acerca de sus capacidades de robo de contraseñas.

Los expertos que han estudiado el troyano, que comenzó a propagarse el verano pasado en algún momento tardío, se puede confirmar al menos 2.500 ordenadores, en su mayoría en el Líbano, se han visto afectados con el malware. Es capaz de desviar los nombres de usuario y contraseñas de media docena de bancos-en el Líbano, así como Citibank y PayPal. El malware también puede secuestrar los datos relativos a los correos electrónicos y sitios de redes sociales.

“Suponemos que de alguna manera desea supervisar las cuentas bancarias y el flujo de dinero, pero no sabemos a ciencia cierta”, dijo Schouwenberg, y agregó que no parece como si el dinero ha sido robado, como resultado de la operación.

Pero los investigadores todavía no están seguros de la capacidad de carga útil cifrada de Gauss, que Kaspersky ha sido hasta ahora incapaz de romper. Schouwenberg dijo el troyano contiene un módulo USB, lo que indica que se dirige a las máquinas que están desconectados de la Internet, por lo tanto no puede ser alcanzado de forma remota. Esto es típico de los puntos finales de “aire” gapped ambientes, dijo.

Lo que los investigadores sí sabemos es que las búsquedas del módulo USB para una configuración específica del sistema – los directorios, los programas y archivos – para asegurarse de que está conectando con el sistema al que quiere conectarse. A continuación, se ejecuta MD5, una función hash criptográfica, 10.000 veces para calcular la clave de descifrado.

http://www.scmagazine.com/gauss-trojan-targets-lebanese-banks-likely-us-creation/article/254096/

Texto Original:

Gauss trojan targets Lebanese banks, likely U.S. creation

Researchers have come across another sophisticated piece of Middle Eastern-targeted espionage malware, which, at the very least, is capable of stealing bank login details, and, at the most extreme, is another Stuxnet.

Dubbed Gauss, the malware was discovered by analysts at Russia-based Kaspersky Lab, the same outfit that detected the Flame virus, which used world-class cryptographic functionality to spread and infect hundreds of machines in Iran to gather intelligence. And researchers found that Gauss, whose main module is named after the 19th century German mathematician Carl Friedrich Gauss, was built using the same platform as Flame.

Flame, as well as Stuxnet, are both believed to be collaborative creations of the United States and Israel.

Like Flame, Gauss contains several modules so that it can be customized to attack a victim in a certain way, Roel Schouwenberg, a senior anti-virus researcher at Kaspersky, told SCMagazine.com on Thursday. So far, researchers have only gleaned insight about its password-stealing capabilities.

Experts who studied the trojan, which began spreading sometime late last summer, can confirm at least 2,500 computers, mostly in Lebanon, have been hit with the malware. It is capable of siphoning the usernames and passwords of a half-dozen banks in Lebanon, as well as Citibank and PayPal. The malware also can hijack data related to emails and social networking sites.

“We assume they somehow want to monitor bank accounts and money flow, but we don’t know for sure,” Schouwenberg said, adding that it does not appear as if any money has been stolen as a result of the operation.

But researchers are still unsure of the capability of Gauss’ encrypted payload, which Kaspersky so far has been unable to crack. Schouwenberg said the trojan contains a USB module, which indicates that it is targeting machines that are disconnected from the internet, thus unable to be remotely reached. This is typical of endpoints in “air-gapped” environments, he said.

What researchers do know is that the USB module searches for a specific system configuration — directories, programs and files — to ensure it is connecting to the system to which it wants to connect. Then, it runs MD5, a cryptographic hash function, 10,000 times to calculate the decryption key.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s