Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > "Лаборатория Касперского": обнаружен банковский троянец государственного масштаба

"Лаборатория Касперского": обнаружен банковский троянец государственного масштаба

Пятница, 10 августа 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

"Лаборатория Касперского" обнаружила на Ближнем Востоке ещё одну сложную вредоносную программу, которую эксперты отнесли к классу кибероружия. Особенность нового троянца, названного по имени немецкого математика Иоганна Карла Фридриха Гаусса, состоит в том, что он, помимо прочего шпионского функционала, направлен на кражу финансовой информации пользователей заражённых компьютеров. Gauss скрытно пересылает на сервера управления пароли, введённые или сохранённые в браузере, файлы cookie, а также подробности конфигурации инфицированной системы.

Наличие в Gauss функционала банковского троянца является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия.

Gauss был обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (International Telecommunication Union, ITU) после выявления Flame. Её глобальной целью является сокращение рисков, связанных с применением кибероружия, и сохранение мира в киберпространстве. С помощью экспертной поддержки, осуществляемой специалистами "Лаборатории Касперского", ITU предпринимает важные шаги в направлении укрепления глобальной кибербезопасности - при активной поддержке со стороны ключевых партнёров по инициативе ITU-IMPACT, правительств и частных организаций, а также гражданского общества.

Обнаружение Gauss экспертами "Лаборатории Касперского" стало возможным благодаря наличию в троянце ряда черт, объединяющих его со сложной вредоносной программой Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.
Новая вредоносная программа была обнаружена "Лабораторией Касперского" в июне 2012 года. Её основной шпионский модуль был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Гёделя. Проведённое исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012 года.

Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о заражённом компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.

3 основные страны, подвергшиеся заражению Gauss
Ещё одной важной особенностью Gauss является то, что он заражает USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame. Однако процесс инфицирования флэшек отличается от предшественников наличием определенной интеллектуальной составляющей. Так, используя съёмный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные. Еще одной характерной чертой троянца является установка специального шрифта Palida Narrow. Однако её смысл пока неясен.

Несмотря на то, что Gauss и Flame имеют много общего по своей структуре, их география заражения серьёзно разнится. Максимальное количество компьютеров, пораженных Flame, приходится на Иран, тогда как большинство жертв Gauss находится в Ливане. Число заражённых ПК также значительно отличается. По данным облачной системы мониторинга Kaspersky Security Network, Gauss заразил порядка 2500 компьютеров, в то время как жертв Flame было всего около 700.

Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Однако стоит отметить, что также как и у более ранних кибершпионов процесс распространения троянца является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным.

"Gauss очень похож на Flame по структуре и коду. Собственно именно это и позволило нам его обнаружить," - говорит Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского". - "Также как Flame и Duqu, Gauss представляет собой сложную программу, предназначенную для ведения кибершпионажа с особым акцентом на скрытность действий. Однако цели недавно обнаруженного троянца совсем иные: Gauss заражает пользователей в чётко определённых странах и крадёт большие объёмы данных. Причём особый интерес для него представляет финансовая информация".

В настоящее время "Лаборатория Касперского" успешно детектирует, блокирует и удаляет троянца Gauss. В антивирусной базе он классифицируется как Trojan-Spy.Win32.Gauss.

Подробный анализ вредоносной программы Gauss доступен на сайте.

Факты:
- Проведённый анализ показывает, что впервые Gauss начал действовать в сентябре 2011 года.
- Обнаружить троянца удалось лишь в июне 2012 года благодаря наличию у него ряда общих черт с Flame.
- Инфраструктура управления Gauss была отключена в июле 2012 года, вскоре после обнаружения троянца. В настоящее время вредоносная программа находится в неактивном состоянии, ожидая команд от серверов.
- Начиная с конца мая 2012 года, облачная система мониторинга "Лаборатории Касперского" обнаружила более 2500 заражений. Общее же количество жертв Gauss может исчисляться десятками тысяч. Это меньше, чем у червя Stuxnet, но значительно больше, чем у Flame и Duqu.
- Gauss передает на сервер управления детальную информацию о заражённом компьютере, включая историю браузера, файлы cookie, пароли, данные о конфигурации системы.
- Результаты анализа Gauss показывают, что основной целью троянца являлся ряд ливанских банков, в том числе Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, он был нацелен на клиентов Citibank и пользователей электронной платёжной системы PayPal.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 213
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 20
Вслед за S8+ в Сети появились характеристики Galaxy S8 |
18: 00
5 бесплатных приложений, которые скоро станут платными |
17: 40
Новые возможности обеспечения узнаваемости бренда |
17: 40
Скидки на 4G-смартфоны Xiaomi с бесплатной доставкой |
17: 40
Apple iPhone 8: новые подробности |
17: 00
Выход 10,5-дюймового iPad отложен до мая или июня |
17: 00
Кухонный химик Али Бузари рассказывает, почему еда должна быть не только здоровой, но и вкусной |
17: 00
Загадочные аксионы: LIGO может обнаружить частицы темной материи |
17: 00
Опыт на $100 тысяч: как три «белых воротничка» запустили первый казахстанский стартап в сфере электронного документооборота |
16: 40
Версия Ubuntu для китайского рынка переходит с Unity на новое окружение UKUI на основе Mate |
16: 40
Бесплатные азартные игры без авторизации: заходи и побеждай! |
16: 40
Конец проекта «Кидалово» со смартфоном за $4 |
16: 40
Добегалась! Умные часы спалили обманщицу |
16: 20
Xiaomi Mi 6 порадует соотношением дисплея к передней панели |
15: 40
По оценке Morgan Stanley, смартфон iPhone 8 привлечет аудиторию повышенной автономностью |
15: 20
Waymo подала в суд на Uber, обвинив последнюю в краже технологий |
14: 40
Если Windows задолбала. Что ожидать от macOS и как в ней разобраться |
14: 40
Готовимся к "Оскару": самые крутые технические киноистории 2016/17 |
14: 20
Сегодня Стиву Джобсу исполнилось бы 62 года |
14: 00
Что общего у обычной батарейки и ракеты? |
14: 00
Лучшие классические и новые азартные приложения |
14: 00
Компания Universal Display отчиталась за последний квартал 2016 года и год в целом |
14: 00
Insta360 выпустит панорамную камеру Honor VR для смартфонов Huawei |
13: 40
Азартный отдых для тех, кто всегда стремится к победе |
13: 40
Лучшие азартные приложения для развлечений |
13: 20
Nissin анонсирует вспышку с радиоуправлением, которая не боится перегрева |
13: 20
Аналитик утверждает, что на Xiaomi Mi6 не отразится дефицит SoC Snapdragon 835 |
13: 20
Планшет Samsung Galaxy Book получит стилус S Pen и Windows 10 |
13: 20
Загорелся iPhone 7 Plus, Apple пообещала разобраться |
13: 20
Представлена первая беспроводная зарядка для iPhone с дальностью действия полметра |
13: 00
В Википедии годами идут тихие войны ботов |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003