La ciberguerra parece no detenerse. Este jueves investigadores de Kaspersky Lab han descubierto un nuevo troyano que se suma a los devastadores Stuxnet, Duqu y Flame, esta vez el blanco son instituciones financieras.

Santiago. La compañia de seguridad informática Kaspersky Lab anunció este jueves el descubrimiento de 'Gauss', una nueva amenaza informática que afecta a los usuarios en el Medio Oriente. Gauss es una herramienta de espionaje informático financiada por un estado nacional y diseñada para robar datos sensitivos, en especial contraseñas del navegador de Internet, credenciales de banca en línea, “cookies” y datos específicos de configuración de los equipos infectados.

La función de troyano bancario encontrada en Gauss es una característica única, que nunca antes había sido detectada en las armas informáticas conocidas.

El análisis de Gauss muestra que fue diseñado para robar datos de varios bancos libaneses, entre ellos Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. También afecta a los usuarios de Citibank y PayPal.

Gauss fue descubierta durante la labor iniciada por la Union Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), después del descubrimiento de Flame. El esfuerzo tiene el objetivo de mitigar los riesgos representados por las armas informáticas, tarea clave en el objetivo global de la paz informática.

La ITU, con los conocimientos especializados proporcionados por Kaspersky Lab, está dando pasos importantes para reforzar la seguridad informática global, colaborando con todos los interesados: gobiernos, sector privado, organizaciones internacionales y la sociedad civil, además de sus socios claves de la iniciativa ITU-IMPACT.

Los expertos de Kaspersky Lab descubrieron Gauss al analizar e identificar sus rasgos comunes con Flame. Entre ellos: la plataforma similar de arquitectura, la estructura modular, las bases del código fuente y los métodos de comunicación con los servidores de administración.

Principales datos de Gauss:

-El análisis indica que Gauss empezó a operar en septiembre de 2011.

-Se descubrió en junio de 2012 gracias a los conocimientos adquiridos durante el análisis e investigación profundos del programa malicioso Flame.

-Este descubrimiento fue posible gracias a las estrechas similitudes y correlaciones entre Flame y Gauss.

-La infraestructura de los servidores de administración de Gauss se desactivó en julio de 2012, poco después de su descubrimiento. En este momento el programa malicioso está en un estado de letargo, esperando que sus servidores de administración se pongan en funcionamiento.

Desde finales de mayo de 2012 el sistema de seguridad “en la nube” de Kaspersky Lab registró más de 2.500 infecciones, pero el número total de víctimas de Gauss asciende a decenas de miles. Este número es menor al de Stuxnet, pero es mucho mayor que el número de ataques de Flame y Duqu.

Gauss roba información detallada sobre los PC infectados, que incluye la historia del navegador, las “cookies”, contraseñas y configuraciones del sistema. También es capaz de robar las credenciales de acceso a varios sistemas de banca y de pago online.

Los expertos de Kaspersky Lab descubrieron el nuevo programa malicioso en junio de 2012. Los desconocidos creadores bautizaron el módulo principal con el nombre del matemático alemán Johann Carl Friedrich Gauss. Los demás componentes también llevan nombres de matemáticos famosos, como Joseph-Louis Lagrange y Kurt Gödel. La investigación reveló que los primeros incidentes provocados por Gauss datan de principios de septiembre de 2011. En julio de 2012 los servidores de administración de Gauss dejaron de funcionar.

Los múltiples módulos de Gauss tienen el propósito de recolectar información de los navegadores, entre ella la historia de las páginas web visitadas y las contraseñas usadas. También envían a los atacantes datos detallados de los equipos infectados, incluyendo información específica de las interfaces de red, los discos de la computadora e información del BIOS. El módulo de Gauss también puede robar datos de los clientes de varios bancos libaneses, entre ellos Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. También tiene como blanco a los usuarios de Citibank y PayPal.

Otra característica clave de Gauss es la habilidad de infectar memorias USB aprovechando la misma vulnerabilidad LNK que usaron Stuxnet y Flame. El proceso de infectar memorias USB es más inteligente. Gauss puede “desinfectar” la memoria bajo ciertas circunstancias y la usa para guardar la información recolectada en un fichero oculto. Otra actividad del troyano es instalar una especie de fuente especial llamada Palida Narrow, pero todavía se desconoce con qué propósito.