quinta-feira, 9 de agosto de 2012

Gauss, o novo vírus "barra pesada" na Internet

Foi encontrado no Oriente Médio um novo vírus de invasão cibernética, que pode espionar transações financeiras, atividades de correio eletrônico e de redes sociais de acordo com uma empresa importante de cibersegurança, a Kaspersky Lab.

Denominado Gauss, o vírus é capaz também de atacar infraestruturas críticas e foi gerado nos mesmos laboratórios do Stuxnet, o vírus que é amplamente considerado como tendo sido utilizado pelos EUA e Israel para atacar o programa nuclear iraniano, disse a Kaspersky Lab. A empresa, sediada em Moscou, disse também que o Gauss tem a mesma origem do Stuxnet e do Flame, usados para atacar o programa nuclear iraniano. De acordo com as primeiras análises, o novo vírus tem como alvo países como o Líbano e traz características inéditas de ciberespionagem.

O Gauss, assim como o Stuxnet e o Flame, é perigoso. Além de roubar dados de contas em serviços on-line, ele reúne informações obtidas na memória dos PCs infectados, incluindo o histórico de navegação na web, senhas e o conteúdo do HD. Um outro módulo do código, ainda pouco aprofundado, é o Godel. Ele copia o código para drives USB (pen drives) e infecta os dispositivos conectados a um computador vítima do ataque. O Godel ainda é um mistério, porque parte do código é protegido por um método de criptografia sofisticado e só é ativado quando infecta um alvo pré-determinado. Os pesquisadores ainda não identificaram os objetivos.

Vítimas se concentram no Líbano e chegam a 2.500

Roel Schouwenberg, pesquisador sênior da Kaspersky Lab, disse que acredita se tratar de uma "ogiva" projetada para causar danos a sistemas de controle industrial. Ao todo, são mais de 2.500 computadores infectados desde o final de maio - número inferior ao Stuxnet, mas é significativamente maior que o número de ataques promovidos pelo Flame e pelo Duqu. Estima-se que o número total de vítimas passe das dezenas de milhares.  "A maior quantidade de máquinas infectadas se encontra no Líbano, seguido de Israel e de territórios palestinos", afirma o relatório.
 
O Gauss é uma ameça real à medida que poderia lançar ataques a partir de drives USB, se aproveitando da vulnerabilidade LNK - a mesma utilizada por Stuxnet e Flame. O Gauss é ainda capaz de apagar vestígios e utilizar dispositivos removíveis para armazenar arquivos ocultos.  Servidores fixos que controlavam os ataques deixaram de funcionar em julho deste ano, e pesquisadores esperam que os ataques sejam reduzidos.

Vírus tem nome curioso
 
Segundo a Kaspersky Lab, o vírus foi chamado de Gauss porque é construído por módulos internos que trazem o nome de matemáticos e filósofos famosos, incluindo Kurt Godel, Carl Friedrich Gauss e Joseph-Louis Lagrange. A Kaspersky Lab optou por chamá-lo de Gauss depois que descobriu que o módulo Gauss é responsável pelo roubo de dados.
 
O Gauss foi descoberto durante uma investigação iniciada pela agência das Nações Unidas para a Informação e Comunicação Tecnológica (ITU, na sigla em inglês). Após detectar o Flame, as investigações da ITU descobriram o Gauss através da identificação de pontos em comum. A análise indica que o Gauss "apareceu em setembro de 2011, sendo detectado em junho de 2012, como resultado de uma profunda investigação e devido às fortes semelhanças entre ambos".

Bancos libaneses, Paypal e Citibank
 
O Gauss rouba informações detalhadas dos computadores, incluindo o histórico de navegação, "cookies", senhas e configurações do sistema operacional. Mas também é capaz de roubar credenciais de acesso a bancos e métodos de pagamento virtuais em sites de leilão.

A princípio, o Gaus foi concebido para roubar dados de bancos libaneses, incluído o Banco de Beirut, o EBLF, BlomBank, ByblosBank, FransaBank e Credit Libanais. Mas também tem capturado dados de clientes do Citibank e do PayPal. Os dados obtidos em contas e equipamentos infectados eram enviados aos responsáveis pelos ataques, "incluindo detalhes das interfaces de rede, dos discos e a informação da BIOS", revelaram pesquisadores.
 
'Palida Narrow'
 
O Gaus também instala uma fonte de nome “Palida Narrow” na máquina, cuja função ainda é desconhecida.

Alexander Gostev, diretor de segurança da Kaspersky Lab, disse que o Gauss é semelhante ao Flame em seu desenho e base do código, o que permitiu a descoberta do malware. "Tal como o Flame e o Duqu, o Gauss é um complexo conjunto de ferramentas de ciberespionagem, que opera em segredo. No entanto, o seu propósito é diferente, já que o Gauss dirige-se a múltiplos utilizadores em países selecionados com a finalidade de roubar grandes quantidades de dados e enfoque específico em informação bancária e financeira", disse Gostev.

O nome completo do Gauss, classificado como trojan, é Trojan-Spy.Win32.Gauss.

 

 
 

 





Um comentário:

  1. Amigo VASCO:
    Não tenho dúvidas de que os virus existem.
    Mas esses últimos têm uma destinação específica: obter informações ditas estratégicas de alguns sites, naturalmente "perigosos" como classificados pelos autores, sobre atividades diferentes daquelas que comumente executamos na WEB.
    Sem dúvidas, há que se ter atenção, pois identificado o mecanismo de roubo de dados, esse poderá ser modificado para outras atividades mais corriqueiras.
    Mas, em minha opinião, não é o momento de aflição.
    Entretanto, para essas novas modalidades dessa descoberta, nada como um BOM ANTIVIRUS, e que não seja PIRATA!!

    Abraços - LEVY

    ResponderExcluir