Kaspersky Lab has published a report on a detected malicious program, the victims of which were customers of large banks in the Middle East, as well as the PayPal payment system.
Specialists from Kaspersky Lab discovered another Trojan in the Middle East, classified as a cyber weapon. The main feature of the detected Trojan is that in addition to espionage it is also aimed at stealing financial information. Researchers consider the detected trojan an ideal tool for financial crimes: it can steal bank card numbers, passwords for Internet banking systems and transaction data.
This trojan was named “Gauss”, after the German mathematician Johann Karl Friedrich Gauss. It was first discovered in June of this year, and as the study showed, the first cases of infection with it date back to September 2011.
“It has a special module that focuses on targeted theft of access accounts for Lebanese banks' banking systems.” Lebanese banks are unique in that they do not disclose information about their customers to anyone, that is, in fact, they are a kind of Swiss bank analogue. “And indeed, a lot of dubious organizations apparently use these banks to store their money,” Vesti quotes Alexander Gostev, the main antivirus expert at Kaspersky Lab.
In total, the malware installs up to eight separate modules on the target machine. Numerous modules Gauss secretly sends to the management server passwords entered or stored in the browser, cookies (i.e. the history of visited sites), as well as details of the configuration of the infected system. In addition, the creators of this trojan received detailed information about the infected computer, including details about network interfaces, disk drives, and also BIOS data. The remaining modules monitor the activity of the virus, and are also responsible for installing other malicious programs whose purpose is currently unknown. After the trojan did its job on the computer, it self-destructed.
Experts are sure that the presence of the banking Trojan functionality in Gauss is a unique case, which had never before been encountered among malicious programs that are commonly classified as cyber weapons. Its detection was made possible due to the presence in it of a number of features that combine this trojan with “Flame”, another recently discovered trojan. Kaspersky Lab experts have found similarities in architecture, modular structure, and methods of communicating with management servers.
Alexander Gostev believes that Gauss was created with the support of state structures: “Undoubtedly, there is some government behind this thing, some state of the world that creates such threats. The fact is that we do not have clear evidence of any state’s involvement "We have, again, speculations, assumptions, but since we do not have these clear facts, we, unfortunately, cannot blame any particular state for creating such threats." But Gauss was created in the same factory as Flame. This indicates that, most likely, it is part of the operation, which is sponsored by a particular state. "
And this is the fourth trojan behind which, as is reasonably suspected, state structures stand!
https://iks-info.blogspot.com/2012/08/blog-post_17.html
Original message
«Лаборатория Касперского» опубликовала отчёт об обнаруженной вредоносной программе, жертвой которой стали клиенты крупных банков на Ближнем Востоке, а также платежной системы PayPal.
Специалисты из "Лаборатории Касперского" обнаружили на Ближнем Востоке очередную троянскую программу, отнесённую к классу кибероружия. Основная особенность обнаруженного трояна в том, что помимо шпионажа он направлен ещё и на кражу финансовой информации. Исследователи считают обнаруженный троян идеальным средством для финансовых преступлений: он может красть номера банковских карт, паролей к системам интернет-банкинга и данные по транзакциям.
Этот троян получил название “Gauss”, по имени немецкого математика Иоганна Карла Фридриха Гаусса. Впервые он был обнаружен в июне этого года, а как показало исследование, первые случаи заражения им относятся к сентябрю 2011 года.
"В нем существует специальный модуль, который занимается целенаправленной кражей аккаунтов доступа к системам банкинга ливанских банков.” Ливанские банки уникальны тем, что не разглашают никому информацию о своих клиентах, то есть по сути являются этаким аналогом Швейцарского банка. “И действительно, очень многие сомнительные организации, видимо, используют эти банки для хранения своих денег", - приводят "Вести" слова Александра Гостева, главного антивирусного эксперта "Лаборатории Касперского".
В общем вредоносная программа устанавливает до восьми отдельных модулей на целевую машину. Многочисленные модули Gauss скрытно пересылает на сервера управления пароли, введенные или сохраненные в браузере, файлы cookie (то есть историю посещаемых сайтов), а также подробности конфигурации инфицированной системы. Кроме того, создатели этого трояна получали подробную информацию о зараженном компьютере, включая подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Остальные модули контролируют деятельность вируса, а также отвечают за установку других вредоносных программ, цель которых в настоящее время неизвестна. После того как троян выполнял своё дело на компьютере, он самоликвидировался.
Эксперты уверены, что наличие в Gauss функционала банковского трояна является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия. Его обнаружение стало возможным благодаря наличию в нем ряда черт, объединяющих этот троян с “Flame”, другим недавно обнаруженным трояном. Эксперты "Лаборатории Касперского" нашли сходства в архитектуре, модульной структуре, а также способах связи с серверами управления.
Александр Гостев считает, что Gauss создан при поддержке государственных структур: "Несомненно, за этими вещами стоит какое-либо правительство, какое-то государство мира, которое создает подобные угрозы. Дело в том, что у нас нет четких доказательств причастности какого-либо государства. У нас есть, опять же, догадки, предположения, но, поскольку у нас нет вот этих четких фактов, мы, к сожалению, не можем обвинять какое-либо конкретное государство в создании подобных угроз". Но Gauss был создан на той же фабрике, что и Flame. Это указывает на то, что, скорее всего, он является частью операции, которая спонсируется определенным государством».
И это уже четвертый троян за которым, как обосновано подозревается, стоят госструктуры!
https://iks-info.blogspot.com/2012/08/blog-post_17.html
