La misteriosa tipografía Palida Narrow del malware Gauss

La misteriosa tipografía Palida Narrow del malware Gauss

La herramienta de ciberespionaje incluye entre sus archivos una fuente tipográfica. ¿Para qué le sirve?

Kaspersky alertó sobre la existencia del malware Gauss, de la misma familia de Flame y Stuxnet, dedicado al espionaje entre países. Su particularidad es que vigila cuentas bancarias y podría otorgar a los controladores del virus acceso a cuentas de los objetivos específicos. También tiene un paquete de código cifrado que todavía no ha logrado ser leído, y curiosamente, instala en los computadores infectados una tipografía llamada Palida Narrow.

¿Para qué le sirve a un malware instalar una tipografía? En Kaspersky no tienen idea de cuál es el objetivo. Se han hecho algunas especulaciones de que podría tener algo que ver con el código cifrado, potencialmente destructivo, considerando que si se reordenan las letras uno podría obtener las palabras “Paladin Arrow” (flecha de paladín).

El laboratorio de investigación húngaro Crysys entregó otra posible explicación: Que sirva para detectar equipos infectados. Palida funcionaría como un identificador. Por ejemplo, ciertos sitios web específicos podrían contener una hoja de estilo CSS, que le dice al navegador cómo desplegar el texto. Este estilo puede incluir referencias a tipografías específicas, cuya definición puede redirigir a una URL para descargar el estilo si no lo tienes instalado en el PC.

De acuerdo a esta última opción, la web le diría al navegador que use Palida Narrow para desplegar el texto, y si no tiene esa fuente, redirigir al sitio desde donde descargarla.

Conociendo este funcionamiento, Crysys creó una herramienta que detecta si tu computador tiene instalado Palida Narrow – y por ende, si Gauss está infectando tus sistemas.

Si no eres un objetivo internacional buscado por agencias de espionaje, es poco probable que el malware te esté infectando. Hasta ahora, se han detectado 2.500 afectados: 1.600 en el Líbano, 482 en Israel, 261 en Palestina y 43 en EE.UU.

Links:
On the Palida Narrow mystery of Gauss malware, and possible remote detection (Crysys – gracias Abraham!)
Gauss: Researchers release detection tool (Washington Post)
Gauss malware Palida font detection page (Crysys)
Gauss, el primo de Flame y Stuxnet que vigila cuentas bancarias (FayerWayer)