«Лаборатория Касперского» в ходе масштабной кампании, инициированной Международным союзом электросвязи (МСЭ), выявила на Ближнем Востоке сложную вредоносную программу, которую специалисты отнесли к классу кибероружия.

Троян Gauss, названный по имени немецкого математика Иоганна Карла Фридриха Гаусса, имеет шпионский функционал и осуществляет кражу финансовой информации пользователей заражённых компьютеров. Программа скрытно пересылает на серверы управления пароли, введённые или сохранённые в браузере, файлы cookie, историю посещаемых сайтов, а также подробности конфигурации инфицированной системы, в частности сведения о сетевых интерфейсах, дисковых накопителях и данные BIOS.

Отмечается, что Gauss имеет сходство со сложнейшей кибершпионской программой Flame, наделавшей много шума минувшей весной (подробности здесь и здесь). Это касается архитектуры, модульной структуры, а также способов связи с серверами управления. Ещё одной важной особенностью Gauss является то, что он заражает USB-накопители, используя ту же уязвимость, что и Flame.

Исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012-го. Хотя точный способ заражения ещё не установлен, специалисты полагают, что распространение Gauss происходит по иному сценарию, нежели Flame. При этом оно строго контролируется, что говорит о намерении злоумышленников как можно дольше оставаться незамеченным.

Больше всего от Gauss пострадали Ливан, Израиль и Палестина; общее количество инфицированных компьютеров составляет около 2,5 тыс. Программа может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платёжной системы PayPal.

«Gauss — это сложная программа, предназначенная для ведения кибершпионажа с особым акцентом на скрытность действий», — рассказывают специалисты. — Троян заражает пользователей в определённых странах и крадёт большие объёмы данных. Причём особый интерес для него представляет финансовая информация».

Подготовлено по материалам «Лаборатории Касперского».