Kaspersky ha pubblicato un dettagliato ed interessante 'paper' relativo all'analisi di un malware, molto particolare, denominato 'Gauss'
Questo codice malevolo sarebbe coinvolto, come si legge sul blog Kaspersky, di varie operazioni di cyber-spinaggio che hanno visto attivi in un recente passato atri codici malevoli come Stuxnet e Flame.
'Gauss' e' stato probabilmente creato a meta' del 2011 e distribuito per la prima volta nel mese di agosto-settembre 2011.
La novita' di rilievo e' la caratteristica di trojan bancario unita a quanto gia' visto nei precedenti casi di malware probabilmente 'sponsorizzato' da una nazione.
'Gauss' oltre a rubare vari tipi di dati infetti da macchine Windows, include anche un payload cifrato (un codice cifrato) che viene attivato su alcuni sistemi che presentano una specifica configurazione.
Il nome Gauss del malware e' legato alla denominazione dei moduli software che lo compongo ed in particolare si e' notato che i nomi attribuiti sembrano rendere omaggio a famosi matematici e filosofi, come Kurt Godel, Johann Carl Friedrich Gauss e Joseph-Louis Lagrange.
Il modulo denominato "Gauss" e' il piu' importante ed implementa le funzionalita' di acquisizione dei dati.
L'analisi rivela una complessita' notevole del codice che puo':
Intercettare i cookie del browser e password.
Raccogliere e inviare i dati di configurazione del sistema.
Infettare le chiavette USB con un modulo dedicato al furto di dati.
Elencare il contenuto dei dischi e cartelle di sistema
Hijack di informazioni di account per social network, email e account IM.
ma la cosa veramente interessante e' che puo' 'rubare' le credenziali di accesso a diversi sistemi bancari attivi in paesi del Medio Oriente.
Il codice e' progettato per monitorare e rubare i dati degli utenti di diverse banche libanesi: Bank of Beirut, EBLF, BlomBank, ByblosBank, Fransabank e Libanais di credito.
Inoltre, colpisce gli utenti di Citibank e PayPal.
Non sorprende quindi che la stragrande maggioranza delle vittime di Gauss si trovino in Libano.
Ci sono anche vittime in Israele e Palestina, alcune negli Stati Uniti, Emirati Arabi Uniti, Qatar, Giordania, Germania e Egitto.
Kaspersky rileva che e' la prima volta che si osserva un malware utilizzato per azioni di cyber-spionaggio che include un componente Trojdan bancario.
Non e' chiaro se lo scopo sia quello di attuare dei trasferimenti fraudolenti da conti bancari o piuttosto monitorare fonti di finanziamento per obiettivi specifici.
Noto che, in effetti, in una zona del globo (Medio Oriente) particolarmente interessata da ricorrenti 'tensioni' tra vari stati e con zone di instabilita' e conflitti locali, anche un monitoraggio delle transazioni bancarie potrebbe far parte di una attivita' di cyber-spionaggio volta a scoprire traffici illeciti, finanziamenti legati al terrorismo ecc......
In un malware del genere non poteva mancare quella parte di codice che serve a trasferire i dati a server remoti ed infatti nel processo di analisi di Gauss, sono stati identificati links a diversi server remoti di “comando e controllo” (5 differenti indirizzi di server utilizzati per recuperare i dati raccolti dalle macchine infette.)
Per rendersi conto della cura posta nell'implementare questo genere di codici basta esaminare come si comporta 'Gauss' quando infetta una chiavetta USB:
Quando Gauss infetta uno stick di memoria USB, imposta un determinato flag a "30" per usarlo come counter.
Ogni volta che viene eseguito il 'payload' (il codice malevolo) il valore viene decrementato ed una volta che arriva a 0, il malware si auto-elimina dalla chiavetta USB.
Questo fa in modo che le infezioni 'Gauss' non sopravvivano abbastanza a lungo per consentire una loro rilevazione.
Come gia' detto oltre a rubare vari tipi di dati da macchine Windows, 'Gauss' include anche uno sconosciuto, payload cifrato che viene attivato su alcune configurazioni specifiche e che al momento non e' stato ancora decifrato e di cui non si conosce lo scopo.
In ogni caso dopo aver analizzato Stuxnet e Flame, Kaspersky afferma “ …..... pensiamo con alto grado di certezza che 'Gauss' venga dagli stessi creatori degli altri noti malware dedicati a cyber-spionaggio e guerra cibernetica...”
In un ulteriore post apparso ieri, Kaspersky informa della possibilita' di rilevare il malware attraverso una pagina web dedicata (Online detection of Gauss).
Naturalmente il malware viene visto dai prodotti antivirus Kaspersy ed anche dal tool free Kaspersky Virus Removal Tool.
Il sistema utilizzato deriva da quello creato da un laboratorio di ricerca ungherese che ha introdotto un metodo web-based per controllare il sistema attraverso la ricerca dell'installazione del font Palida Narrow.
La pagina web di test e' disponibile qui: http://gauss.crysys.hu.
La pagina Kaspersky utilizza un sistema simile per verificare la presenza del font sul PC.
Anche se al momento non si capisce esattamente perche' gli attaccanti installino sul PC colpito questo tipo di font (Palida Narrow), la cosa potrebbe servire come un indicatore di attivita' Gauss nel sistema.
Maggiori dettagli sul modulo che installa questo tipo di carattere sono disponibili nel 'paper' Kaspersky qui
Alla fine del post Kaspersky troverete una finestra iframe che, con javascript abilitati, produce un messaggio di conferma o meno della presenza del font Palida Narrow sintomo di una possibile presenza di 'Gauss'.
Sempre relativamente a 'Gauss' interessante anche post di commento apparso su www.itproportal.com che analizza il problema malware 'dedicato' al cyber-spionaggio.
Da quanto si legge nel post considerato anche che "Secondo Kaspersky, Gauss include caratteristiche che non si trovano in codici precedentemente scoperti." il fatto di produrre e diffondere per scopi di guerra-digtiale codici cosi' sofisticati potrebbe rivelarsi un'arma a doppio taglio .
In pratica, una volta che il codice e' noto, puo' essere ulteriormente analizzato, eventualmente modificato ed, al limite, rispedito al mittente.
Si afferma nel post ”...... E ' un po come catturare un missile Tomahawk mentre e' in volo, riprogrammarlo e farlo ritornare indietro ad esploder a casa di chi lo ha lanciato.....”
Anche se nessuno puo' realmente catturare un missile Tomahawk in volo e' possibile pero' fare qualcosa di simile su un codice informatico.
Si potrebbe, una volta acquisito il codice, analizzarlo in maniera approfondita, eventualmente modificarlo ed utilizzarlo per lanciare un attacco, magari in maniera ancora piu' estesa, a danni di chi lo aveva creato e distribuito.
Fonti consultate:
Kaspersky Lab
Paper Kaspersky su:
Gauss malware Palida font detection page
Malware goes pro with ‘Gauss’ - itproportal.com
Edgar
Nessun commento:
Posta un commento