Iklan IT

Jumat, 10 Agustus 2012

Perbankan di Timur Tengah datanya Dicuri Oleh Malware Spionase Gauss

Para peneliti di Kaspersky Lab mengatakan malware, yang dikenal sebagai Gauss, diluncurkan kembali pada bulan Agustus atau September tahun 2011-kira-kira waktu yang sama dengan malware Duqu ditemukan. Dalam kasus Gauss, peneliti menemukan hal itu sebagai bagian dari upaya berkelanjutan oleh Uni Telekomunikasi Internasional (ITU) menyusul penemuan malware Api awal tahun ini. Sama seperti Duqu didasarkan pada platform "Tilded" Stuxnet dikembangkan pada, Gauss didasarkan pada platform Flame, menurut Kaspersky. Beberapa modul dari Gauss mengumpulkan informasi dari browser, termasuk sejarah situs yang dikunjungi dan password pengguna. Malware ini juga mencuri data tentang mesin yang terinfeksi, seperti informasi BIOS dan informasi tentang antarmuka jaringan. Tapi itu adalah kemampuannya untuk mencuri informasi keuangan yang telah benar-benar mengangkat alis. Modul Gauss khusus target data dari klien bank Lebanon, termasuk Bank of Beirut dan BlomBank serta Citibank dan PayPal. Fitur ini, Kaspersky peneliti mengatakan, memberikan perbedaan menjadi yang dikenal publik pertama yang disponsori negara Trojan perbankan. "Gauss beruang kemiripan yang mencolok dengan Flame, seperti desain dan basis kode, yang memungkinkan kita untuk menemukan program jahat," kata Alexander Gostev, kepala ahli keamanan di Kaspersky "Serupa dengan Flame dan Duqu., Gauss adalah kompleks cyber-spionase toolkit, dengan siluman desain menekankan dan kerahasiaan, namun tujuannya adalah berbeda [dari] Api atau Duqu. Gauss menargetkan beberapa pengguna di negara-negara pilih untuk mencuri data dalam jumlah besar, dengan fokus khusus pada perbankan dan informasi keuangan. " Meskipun vektor infeksi awal tidak diketahui, Gauss memiliki kemampuan untuk menginfeksi drive USB thumb dengan komponen data-mencuri menggunakan kerentanan LNK yang sama dieksploitasi oleh Stuxnet dan Flame. Namun, proses menginfeksi stik USB lebih cerdas dalam Gauss, karena mampu desinfektan drive dalam keadaan tertentu dan menggunakan removable media untuk menyimpan informasi yang dikumpulkan dalam sebuah file tersembunyi. Data USB-mencuri muatan berisi bagian dienkripsi beberapa yang didekripsi dengan kunci yang berasal dari sifat sistem tertentu, perusahaan menjelaskan. "Bagian-bagian ini akan dienkripsi dengan kunci RC4 berasal dari hash MD5 dilakukan 10.000 kali pada kombinasi dari" PATH%% string "lingkungan dan nama direktori%% ProgramFiles Kunci RC4 dan isi bagian ini adalah. belum diketahui-sehingga kita tidak tahu tujuan dari muatan tersembunyi, "menurut whitepaper Kaspersky pada malware. Sebagian besar infeksi telah ditemukan di Lebanon, Palestina dan Israel. Semua berjumlah, Gauss diketahui telah terinfeksi sekitar 2.500 mesin, sosok signifikan lebih tinggi dari 700 diyakini telah terinfeksi oleh Flame. Namun demikian, kode referensi, subrutin enkripsi dan infrastruktur komando dan kontrol untuk Gauss menunjukkan malware diproduksi oleh penulis Flame, menurut Kaspersky-yang jika benar, bisa menuding Amerika Serikat, yang telah dituduh menciptakan Api sebagai bagian dari operasi cyber terhadap Iran. "Gauss dibangun pada platform yang sama bahwa Api dibangun," kata Roel Schoewenberg, senior peneliti antivirus untuk Kaspersky. "Sama sekali tidak ada keraguan mereka datang dari pabrik yang sama Banyak dari kode sumber yang sama digunakan. Kecuali seseorang berhasil mencuri kode sumber Flame, hal ini dilakukan oleh penyerang yang sama.."

Tidak ada komentar:

Posting Komentar

Semangat