La nueva ciberamenaza para los ciudadanos de oriente medio se llama Gauss

Este nuevo malware  fue descubierto tras detectar Flame, durante una investigación iniciada por la agencia de Naciones Unidas para la Información y la Comunicación Tecnológica (ITU), dirigida a mitigar los riesgos derivados de las ciberarmas, lo cual es un componente clave en la consecución de un objetivo global en materia de paz.

ITU, junto a la experiencia de Kaspersky Lab, está dando pasos importantes para fortalecer la seguridad general mediante la colaboración activa con todas las partes implicadas en el proceso como gobiernos, sector privado, organizaciones internacionales y sociedad, además de sus principales partners dentro de la iniciativa ITU-IMPACT.

Expertos de Kaspersky Lab descubrieron Gauss mediante la identificación de puntos en común con otros programas maliciosos como Flame, ya que incluye plataformas de arquitectura, estructuras modulares, códigos de base y sistemas de comunicación con los servidores de comando y control (C&C) similares.

Algunos de los principales descubrimientos sobre Gauss son: el inicio de sus operaciones en septiembre de 2011, su descubrimiento en junio de 2012 -como resultado del profundo análisis e investigación de Flame-, que este software malicioso se encuentra en estado latente, en espera de un servidor C&C para reactivarse y el número total estimado de víctimas de Gauss probablemente alcance decenas de miles de personas (este número es menor en comparación con Stuxnet, pero es significativamente mayor que el de ataques de Flame y Duqu).

Además, Gauss roba información detallada de equipos infectados, incluyendo el historial del navegador, cookies, contraseñas y configuraciones del sistema. También es capaz de robar credenciales de acceso para los distintos sistemas de banca online y métodos de pago. Este código fue diseñado para robar datos de varios bancos libaneses, incluido el Banco de Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. Además, está dirigido a usuarios de Citibank y de PayPal.

La investigación reveló que los primeros ataques de Gauss datan de septiembre de 2011 y en julio de 2012, sus servidores dejaron de funcionar. Varios módulos de Gauss servían para recolectar información de los navegadores, incluyendo el historial de sitios web visitados y las contraseñas. Los datos sobre el equipo infectado se enviaban a los atacantes, incluyendo detalles de las interfaces de red, discos informáticos y la información del BIOS.

El módulo de Gauss es también capaz de robar datos de clientes de varios bancos libaneses, incluido el Banco de Beirut, EBLF, BlomBank, ByblosBank, FRANSABANK y Credit Libanais. También apunta a usuarios de Citibank y PayPal.

Otra característica fundamental de Gauss es su capacidad para infectar memorias USB, utilizando la vulnerabilidad LNK, la misma que se utilizó anteriormente en Stuxnet y Flame. Sin embargo, el proceso de infección de memorias USB es más inteligente ya que Gauss es capaz de "desinfectar" la unidad en ciertas circunstancias y utilizar estos dispositivos extraíbles para almacenar la información recopilada en un archivo oculto.

Otra peculiaridad del troyano es su capacidad para instalar una fuente especial que se llama Palida Narrow, aunque la intención de esta acción aún se desconoce. Aunque Gauss es similar a Flame en su diseño, la geografía de las infecciones es sensiblemente diferente. La mayoría de los ordenadores afectados por Flame se registraron en Irán y los de Gauss se encuentran en el Líbano. El número de infecciones también es diferente. Según las bases de Kaspersky Security Network (KSN), Gauss lleva infectadas alrededor de 2.500 equipos. En comparación, Flame fue significativamente menor, infectando unos 700.

Alexander Gostev, Director Experto en Seguridad de Kaspersky Lab, comenta: "Gauss contiene semejanzas sorprendentes con Flame, como su diseño y base de código, lo que nos ha permitido descubrir el programa malicioso. Al igual que Flame y Duqu, Gauss es un complejo conjunto de herramientas de ciberespionaje, que pone especial atención en operar con sigilo y en secreto. Sin embargo, su propósito es diferente, ya que Gauss se dirige a múltiples usuarios en países seleccionados con la finalidad de robar grandes cantidades de datos, con un enfoque específico en información bancaria y financiera".