Con Flame condivide una parte del codice utilizzato, con qualche differenza sul piano della infrastruttura. E una differenza fondamentale: al contrario dei suoi precedessori, Gauss sembra interessato a password e informazioni sui conti bancari delle vittime. E si concentra soprattutto sui PC degli abitanti del Libano.
Sul piano tecnico, quanto svelato oggi da Kaspersky Lab è un ormai classico malware modulare in grado di aggiornare alcune parti di sé stesso e ampliare le propri funzioni scaricando pacchetti da Internet. Alcuni moduli, come nei casi precedenti, raccolgono informazioni sulla macchina infettata: dettagli su BIOS e CMOS, numero e tipo di dischi installati, interfacce di rete e configurazioni dei domini locali. In più, la novità più interessante di Gauss è la presenza di un modulo specifico per la raccolta di cookie, password e credenziali conservate all’interno del browser: tutto inviato via Rete al centro di comando&controllo (C&C).
L’analisi del codice e delle caratteristiche di Gauss hanno convinto gli analisti Kaspersky che si tratti del successore di Stuxnet, Flame e Duqu: ci sono molte somiglianze soprattutto tra Gauss e Flame, con codice condiviso e impostazioni simili della struttura del malware (i domini del centro C&C sono registrati a nomi fittizi residenti a indirizzi che corrispondono a edifici pubblici, per esempio), così come la distribuzione geografica principale dell’infezione. Il Medio Oriente è ancora una volta l’epicentro, in particolare il Libano guida la classifica con più di 1.600 infezioni registrate: proprio le banche locali e i servizi di pagamento sembrano essere i principali obiettivi di Gauss, che come detto al contrario di Flame e Stuxnet dispone di un modulo specifico per il furto delle credenziali. Inoltre, Gauss archivia le proprie configurazioni nel Registro di sistema: in altre parole, queste impostazioni possono essere variate in un secondo momento.
Scrivi un commento
Devi accedere, per commentare.