Gauss: Monitorizando cuentas bancarias

El malware Gauss es una herramienta de ciberespionaje que, en honor a su módulo principal llamado Gauss, homenajea al matemático alemán Johann Carl Friedrich Gauss. Este malware comparte arquitectura y código con la primera ciberarma digital Stuxnet, con la herramienta de ciberespionaje dedicada a robar información de infraestructuras críticas Duqu y con la sofisticada herramienta de ciberespionaje Flame. Sin embargo, esta herramienta de espionaje estaba centrada principalmente en el robo de contraseñas e información bancaria.

Tras el descubrimiento de Flame los investigadores de las firmas de antivirus realizaron una búsqueda de los ficheros que identificaban al malware Flame entre todos los equipos que tenían instalado sus antivirus. Sin embargo, se llevaron una sorpresa cuando detectaron que habían encontrado un nuevo malware que compartía arquitectura con Flame. Habían descubierto a Gauss que poseía un payload que utilizaba un esquema de cifrado altamente sofisticado y complejo.

Al igual que Flame, Gauss se trataba de una herramienta de espionaje, aunque el tamaño de esta última era mucho más pequeño ya que no ocupaba los 20 MB que tenía el malware modular Flame. Como herramienta de espionaje era capaz de robar contraseñas bancarias y de sistema, redes sociales, correo electrónico, mensajería instantánea, además de almacenar la configuración de los equipos infectados.

Es de destacar en este malware su capacidad de robar contraseñas bancarias, ya que no suele ser uno de los motivos de espionaje entre gobiernos, en este caso parece qué sí era necesario ya que estaba enfocado en los bancos de Líbano - el banco de Beirut, EBLF, BlomBank, ByblosBank, FransaBank, y el Credit Libanais - donde se sospechaba que se blanqueaba dinero para el programa nuclear Iraní. De esta manera los atacantes monitorizaban las transacciones y los balances para trazar las relaciones entre cuentas y el movimiento de dinero. 

Pero el gran misterio que recae sobre Gauss es su impenetrable payload, que incluso a día de hoy aún no ha sido descifrado. A diferencia de Stuxnet, que depositaba el payload en todas las máquinas que infectaba y ejecutaba el payload solo en las máquinas con una configuración específica, Gauss por el contrario sólo depositaba el payload en las máquinas que tenían la configuración buscada. Además Gauss, a diferencia de Stuxnet, las claves para desbloquear el payload no estaban almacenadas en el malware. En su lugar, el payload se descifraba únicamente mediante una clave que se generaba dinámicamente a partir de la configuración de la máquina que se pretendía atacar.

Gauss para propagarse sigilosamente utilizaba el mismo método de propagación que Stuxnet, aprovechando una vulnerabilidad en los ficheros .LNK del sistema operativo Windows a través de memorias USB infectadas. Además, cada vez que una memoria USB infectada se insertaba en un equipo se guardaba la configuración del equipo en un fichero oculto de la memoria USB y cuando la memoria USB se conectaba en un equipo que tenía conexión a Internet se enviaba las configuraciones de todos los equipos infectados al servidor de control (C&C). De esta manera los atacantes sabía cuándo habían alcanzado su objetivo.

Gauss ha sido una operación de ciberespionaje que ha conseguido infectar más de 2500 equipos, muchas más infecciones que Duqu y Flame aunque muchas menos infecciones que Stuxnet, lo que nos indica que su propagación ha estado más controlada que éste último. Su radio de acción en los 9 meses de vida desde que empezó la operación de espionaje en Septiembre del 2011 ha sido principalmente los países de Oriente Medio, encontrándose más del 65% de las infecciones en el Líbano donde incluso se ha llegado a encontrar máquinas infectadas con tres versiones de malware para espionaje – Flame, Gauss y Mini-Flame.

Claramente podemos ver una vez más que hay un antes y un después del descubrimiento de Stuxnet, donde a partir de entonces los avances en la elaboración de malware van más allá de los simples caprichos de las organizaciones criminales.

Un saludo amigos!!