返回新闻列表

卡巴斯基实验室发现新型可监控网银账号的复杂网络威胁“Gauss”

        卡巴斯基实验室近日宣布发现一种新型的网络威胁——“Gauss”,攻击目标为中东地区的用户。Gauss是一种复杂,背后由国家机构支持的网络间谍工具,可盗取敏感数据,尤其是浏览器密码、网银账户、cookies和受感染设备的特定配置参数。

        在Gauss中发现的网银木马十分独特,在之前的任何网络武器中都未曾发现。

        继Flame的发现之后,Gauss也是在执行国际电联(ITU)要求的检测过程中被发现的。此次检测的主要目的是消除网络武器带来的危险,是一次以维护全球网络和平为宗旨的重要行动。

        除了与ITU-IMPACT组织的重要合作伙伴合作,还通过与政府、个人、国际组织及社会团体的积极合作,ITU与卡巴斯基实验室的专家们共同联手加强全球网络安全。

        卡巴斯基实验室的专家们发现并证实Gauss与Flame之间存在相似之处,包括相似的结构平台、模块结构、代码基数以及与控制指令(C&C)服务器的连接方式。

最新情况:

  • 分析表明,Gauss从2011年9月左右开始运行。
  • 被首次发现的时间是2012年6月,基于对Flame的深度分析和研究后得到的新认识。
  • 由于Flame与Gauss之间较强的相似度使得此次发现得以可能。
  • Gauss被发现不久后,其指令控制中心随即关闭。目前,该恶意程序处于休眠状态,等待指令控制中心将其再次激活。
  • 2012年5月末,卡巴斯基实验室的云安全系统记录到2500次感染,据估计,可能有数以万计的设备被Guass感染。尽管这个数字比Stuxnet事件要低,但远远高于Flame与Duqu的攻击次数。
  • Gauss盗取受感染计算机中一些很具体的数据,包括浏览历史、cookies、密码和系统配置。它还能进入多个网银和在线支付系统。
  • 对Gauss的分析显示,Gauss专门盗取几家黎巴嫩银行的数据,包括贝鲁特银行、EBLF 、BlomBank、ByblosBank、FransaBank和Credit Libanais。此外,还有一些花旗银行和PayPal的用户。

        卡巴斯基实验室的专家是在2012年6月发现的新型恶意程序。它的主要模块被未知的创建者以德国著名数学家Johann Carl Friedrich Gauss命名,其它模块的命名同样来自著名的科学家,包括Joseph-Louis Lagrange和Kurt GÖdel。调查揭示了首个Gauss事件可以追溯至2011年9月。2012年7月,Gauss的指令控制中心停止运行。

        Gauss的多个模块用来收集浏览器中的信息,包括访问过的网站和密码记录。受感染设备中的详细数据还被同时发给攻击者,这些数据包括一些特别的网络界面,计算机驱动和BIOS信息。Guass模块还能盗取几家黎巴嫩银行的客户信息,包括贝鲁特银行、EBLF 、BlomBank、ByblosBank、FransaBank和Credit Libanais。此外,还有一些花旗银行和PayPal的用户。

        Gauss的另一个重要特点就是能感染USB,同样利用了之前Stuxnet和Flame利用的LNK漏洞。同时,感染USB储存设备是经过巧妙设计的。在特定情况下,Gauss还能够为驱动“杀毒”,然后使用可移动存储设备将收集到的信息储存在隐藏文件中。该木马另一个活动则是安装一种叫做Palida Narrow的特殊字体,而这个行为的目的还尚不明确。

        Gauss的结构设计与Flame类似,但感染的地区却显著不同。Flame感染计算机数量最多的地区是伊朗,而Gauss感染的大部分计算机都在黎巴嫩,二者感染计算机的数量也有所不同。根据卡巴斯基安全网络的遥感数据报告显示,Gauss已经感染了大约2,500台设备。与之相比,Flame感染的数量低很多,感染了约700台设备。

        尽管采用的是哪种手段来感染计算机目前还不清楚,但很明确的是,Gauss的感染方式与Flame或Duqu非常不同。与前两个网络间谍武器相比之下,Gauss传播受到严格的控制,其隐蔽性才是此次感染的重点。

        卡巴斯基实验室首席安全专家Alexander Gostev评论道:“Gauss与Flame之间有极为相似的特点,例如结构设计和代码基数,这也是让我们发现此恶意程序的起因。与Flame和Duqu相似的是,Gauss也是一种复杂的网络间谍工具,但更偏重隐蔽性,另外,Gauss的目的与Flame或Duqu是不同的。Gauss的目标是多个国家的用户,除了盗取大量数据,还特别青睐银行等金融机构的信息。”

        目前,卡巴斯基实验室的产品已经能成功地检测、拦截Gauss木马,并将其分类为Trojan-Spy.Win32.Gauss。
欲了解更多相关信息,请访问Securelist.com