Hier, la société Kaspersky Lab a annoncé avoir découvert un nouveau malware agissant au Moyen-Orient. Baptisé Gauss, la nouvelle cyber-menace a été conçue pour espionner les comptes et transactions bancaires en ligne. Véritable boîte à outil visant à dérober les données sensibles de ses victimes (identifiants de comptes bancaires, mots de passe, cookies…), le malware présente des caractéristiques de vol de données encore jamais vues chez ses prédécesseurs.
Gauss aurait commencé à agir en septembre 2011. Découvert en juin 2012 grâce aux enseignements tirés de l’étude approfondie menée sur le virus Flame : “Gauss présente des ressemblances frappantes avec Flame, telles que sa conception et son code source, ce qui nous a permis de le découvrir“, affirme l’expert en chef de la sécurité de Kaspersky, Alexander Gostev, cité dans le communiqué.
Actuellement, le « cheval de Troie bancaire » est « en sommeil » depuis juillet et attend l’activation de ses serveurs C&C, mais il a déjà été actif et l’enquête révèle que « les premiers incidents impliquant Gauss remontent à septembre 2011 ».
Depuis la fin du mois de mai 2012, plus de 2 500 infections ont été enregistrées et Kaspersky Lab estime que le nombre total de machines infectées pourrait s’élever à plusieurs dizaines de milliers. C’est moins que Stuxnet mais plus que Flame et Duqu.
« Gauss vole des informations sur les ordinateurs infectés telles que l’historique du navigateur, les cookies, les mots de passe et les configurations du système. Il est aussi capable de voler les informations d’accès liées aux systèmes bancaires en ligne et aux méthodes de paiement.
L’analyse de Gauss montre qu’il a été conçu pour voler des données provenant de plusieurs banques libanaises, y compris la Banque de Beyrouth, EBLF, BlomBank, Fransabank, Byblosbank et Crédit Libanais. En outre, il cible aussi les utilisateurs de Citibank et PayPal.
Gauss possède une autre caractéristique : il est capable d’infecter les lecteurs et clés USB en utilisant la vulnérabilité utilisée par Stuxnet et Flame. Mais ce processus d’infection est plus intelligent. »
Qualifié de « kit complet d’outils de cyberespionnage », Gauss aurait été créé, comme ses prédécesseurs, par un Etat. Si le virus Flame a été conçu (probablement par les Etats-Unis et Israël) pour dérober les informations sur le programme nucléaire iranien, Gauss semble plutôt s’attaquer aux banques libanaises tout en présentant toutes les caractéristiques d’un malware développé par un Etat pour en espionner un autre.