Un nuevo virus de espionaje fue descubierto en Medio Oriente, y aparentemente fue creado por las mismas personas detrás de Flame y Stuxnet. Llamado “Gauss”, el malware roba información de datos bancarios y de sistema, y tiene una carga encriptada misteriosa que podría resultar en la destrucción de infraestructuras. Fue descubierto en 2.500 máquinas, la mayoría de ellas en el Líbano, de acuerdo a información publicada por Kaspersky Lab.

Se le bautizó como “Gauss” porque ese nombre llevaban algunos de los archivos principales del malware. El virus tiene un módulo que permite capturar el usuario y contraseña de cuentas bancarias, y estaba presente en varios bancos del Líbano, como el Banco de Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. También vigilaba a clientes de Citibank y PayPal.

“Es altamente modular y soporta nuevas funciones, que pueden ser desplegadas de forma remota por los operadores como plugins”, describe la compañía.

Ciberespionaje

El malware parece ser parte del arsenal de ciberarmas creado por Estados Unidos e Israel, que incluye a Flame, Stuxnet y DuQu, aunque es la primera vez que se descubre un virus de este tipo que robe información bancaria – esto normalmente se ve en otro tipo de grupos motivados por la posibilidad de robar dinero.

No se sabe si esta función se utilizó para espiar cuentas o transacciones, o para robarle dinero a objetivos específicos. Pero dado que el malware fue casi con certeza creado por un Estado, su objetivo probablemente es la contrainteligencia – por ejemplo, monitorear o rastrear de dónde proviene el dinero que financia a ciertos individuos o grupos, o sabotear ciertos movimientos al quitarles el dinero.

Aunque las maniobras bancarias son nuevas, la parte más intrigante de Gauss está en el código cifrado que tiene el malware, y que no ha logrado ser descifrado por Kaspersky. Esta carga parece apuntar a máquinas especializadas con una configuración específica. Cuando Gauss llega a una de estas máquinas con esta configuración, se desata esta parte del malware y algo sucede. Hasta ahora los investigadores no han descubierto qué configuración es. Kaspersky pidió ayuda a criptógrafos para poder leer el código (interesados pueden contactarse  a theflame@kaspersky.com).

Según los investigadores, Gauss fue creado a mediados de 2011 y lanzado en septiembre u octubre del año pasado. El código de Gauss es similar al que se usó en Flame, aunque algo menos complejo. Kaspersky lo descubrió en junio cuando estaba buscando variantes de Flame.

La Unión Internacional de Telecomunicaciones (ITU) de la ONU le pidió a Kaspersky este año que investigara afirmaciones de Irán de que computadores de la industria petrolera de ese país habían sido atacados por malware, que había formateado los equipos. Kaspersky no encontró un malware que hiciera eso, pero sí se topó con Flame, una herramienta de espionaje altamente sofisticada con múltiples componentes, diseñada para espiar a gran escala en múltiples sistemas.

Trabajando en esto, se encontraron con muestras de Gauss, y notaron que aunque usaba códigos como los de Flame, era un virus separado.

Víctimas

Más de 2.500 sistemas en 25 países están infectados con Gauss, 1.600 de ellas en el Líbano, 482 en Israel, 261 en Palestina y 43 en EE.UU. – y esto es sólo lo detectado por Kaspersky. La compañía indicó que podría haber decenas de miles de infectados.

Para comparación, Stuxnet infectó unas 100.000 máquinas, principalmente en Irán; DuQu unos 50 equipos en diferentes lugares, y Flame alrededor de 1.000 máquinas en Irán y otros lugares del Medio Oriente.

No parece haber un patrón de organizaciones que estén siendo atacadas por Gauss, sino que se trataría de personas específicas, aunque Kaspersky no tiene sus identidades. La mayoría de los afectados usa Windows 7.

Tal como ocurre con Flame, Gauss funciona por módulos y sus operadores pueden modificarlo según las necesidades que tengan. Hasta ahora sólo se han descubierto algunos módulos, que permiten robar cookies y contraseñas, registrar configuraciones de sistemas – con información de la BIOS y RAM CMOS -, infectar unidades USB, robar información bancaria, de redes sociales, mensajería instantánea y e-mail, entre otros.

El malware también instala una fuente llamada “Palida Narrow”, que no se sabe para qué sirve.

El módulo principal de Gauss pesa unos 200k, y junto con los plugins que se han encontrado hasta ahora, llega a pesar 2 MB, lo que lo hace bastante más pequeño que los 20 MB de Flame.

Links:
- Flame and Stuxnet Cousin Targets Lebanese Bank Customers, Carries Mysterious Payload (Wired)
- Gauss: Nation-state cyber-surveillance meets banking Trojan
- Creadores de Flame y Stuxnet cooperaron en la creación del código
- Flame, una nueva arma de ciberespionaje descubierta en Irán