Gauss ، بدافزاری با هدف سرقت اطلاعات بانکی

بنابر گزارش شرکت‌های امنیتی رایانه‌ای، این بدافزار در 10 آگوست سال 2012 تحت خانواده تروجان‌ها شناسایی شده است. این بدافزار در اواسط سال 2011 توسط مهاجمین ایجاد و به عنوان تروجان بانکی مورد استفاده قرار گرفته است.

شماره: IRCNE2012081576

تاریخ: 22/05/91

سیستم‌های هدف بدافزار سیستم عامل‌های تحت ویندوز بوده و اهداف شناسایی شده کشورهای حوزه خاورمیانه گزارش شده است. قابل ذکر است که ...

بیشتر سیستم‌های قربانی از سیستم عامل ویندوز نسخه 7 استفاده می‌نمایند.کشورهای با بیشترین حجم آلودگی به ترتیب شامل لبنان، فلسطین، امریکا، امارات متحده عربی، قطر، اردن، آلمان و مصر می‌باشند.

 Guass از طریق انتقال ماژول سرقت اطلاعات خود به usb درایو قربانی و با توجه به آسیب پذیری سیستم‌های ویندوز با نام CVE-2010-2568  منتشر می‌گردد. اطلاعات سرقت شده از سیستم قربانی می‌تواند تحت فایل hidden  در usb  درایو باقی بماند تا در زمان مناسب به سرور کنترل و فرماندهی ارسال گردد. از دیگر ویژگی‌های این بدافزار، نصب فونتی با نام Palida Narrow بر روی سیستم بوده که هدف نصب این فایل در حال حاضر نامشخص می‌باشد.

به منظور شناسایی آلودگی سیستم به این بدافزار می‌توان وجود فایل فونت Palida Narrow را در سیستم بررسی نمود. شرکت‌های امنیتی نیز با توجه به بررسی وجود فایل مذکور، ابزارهایی را با هدف شناسایی سیستم‌های آلوده ایجاد نموده‌اند.

 

Guass کاملا ماژولار بوده و امکان افزودن امکانات جدید را به صورت plugin به مهاجم می‌دهد. قابلیت‌های شناسایی شده این بدافزار شامل موارد زیر می‌گردد:

·         سرقت اطلاعات کوکی مرورگر و رمزعبور.

·         تزریق ماژول‌های خود به انواع مرورگرها برای سرقت اطلاعات سیستم.

·         سرقت اطلاعات تنظیمات شبکه سیستم.

·         آلوده ساختن USB درایوها به منظور سرقت اطلاعات دیگر سیستم‌ها.

·         جستجو و ارسال اطلاعات سیستم قربانی به مهاجم.

·         دریافت اطلاعات مربوط به BIOS و CMOS RAM سیستم قربانی.

·         فهرست نمودن درایورها و فولدرهای سیستم قربانی.

·         سرقت اطلاعات بانکی علی الخصوص در کشورهای خاورمیانه و ارسال به سرورهای کنترل و فرماندهی.

·         سرقت اطلاعات مربوط به حساب‌های کاربری شبکه‌های اجتماعی و پست الکترونیک.

در حال حاضر در حدود 2500 سیستم در دنیا به این بدافزار آلوده هستند. سرورهای کنترل و فرماندهی شناسایی شده مربوط به بدافزار Gauss در جولای سال 2012 متوقف شده‌اند. این بدافزار اطلاعات کاربران بانک‌هایی همچون بانک‌های زیر را مورد تهدید قرار داده است.

Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank , Credit Libanais , Citibank , PayPal

براساس بررسی های انجام شده توسط مرکز ماهر تا کنون هیچ گونه آلودگی مبنی بر انتشار بدافزار Gauss در کشور شناسایی نشده است.

گزارشات تکمیلی در خصوص نحوه عملکرد این بدافزار منتشر خواهد گردید.

به نقل از تک دو