Banking-Trojaner "Gauss" vermutlich mit staatlichem Auftrag

09.08.2012 18:30 Uhr Gerald Himmelein

Im nahen Osten war bis vor kurzem ein Banking-Trojaner aktiv, der Code mit dem staatsfinanzierten Flame-Trojaner teilt. "Gauss" griff unter anderem auch gezielt Banking-Zugangsdaten ab.

Im Rahmen seiner Untersuchungen zum 20-MByte-Trojaner "Flame" sind die Sicherheitsforscher von Kaspersky Lab auf einen wesentlich weiter verbreiteten Cousin gestoßen: "Gauss". Der Trojaner soll im Libanon sowie in Israel und Palästina vermutlich Zehntausende Rechner infiziert haben.

Zu seinen Schadfunktionen gehört der Diebstahl von Internet-Kennwörtern, Zugängen zu Online-Konten, persönlichen Cookies, dem Browser-Verlauf und anderen individuellen Systemeinstellungen. Zudem installierte die Malware einen eigenen Font namens "Palida Narrow" – mit bislang unbekanntem Zweck. Der Name "Gauss [1]" stammt aus dem Hauptmodul des Schädlings; auch andere Module sind nach berühmten Mathematikern benannt.

Über welche Sicherheitslücke Gauss sich Zugang zu den Zielsystemen verschaffte, ist noch unklar. Klar ist hingegen bereits, dass Gauss sich über USB-Sticks weiter verbreitete. Dabei nutzte der Trojaner dieselbe Sicherheitslücke bei der Behandlung von .LNK-Dateien wie zuvor Flame und Stuxnet. Gauss legte die erspähten Informationen in einer versteckten Datei auf dem Stick ab.

Dem Riesentrojaner Flame [2] ähnelt Gauss sowohl im Aufbau als auch in der Struktur der Module, der Code-Basis sowie in der Art, wie der Trojaner Kontakt zu den Fernsteuerungs-Servern aufnahm. Dies legt einen gemeinsamen Urheber nahe – Flame und Stuxnet werden den Geheimdiensten [3] von Israel und den USA zugeschrieben.

Vor diesem Hintergrund erscheint es besonders ungewöhnlich, dass die Spionagefunktionen von Gauss auch den Online-Zugriff auf Bankkonten umfassten. Kaspersky zufolge suchte der Trojaner konkret nach Kundendaten für die Bank of Beirut [4], Banque Libano-Française (EBLF) [5], Blom Bank [6], Byblos Bank [7], Credit Libanais [8] und Fransabank [9]. Der Trojaner soll auch Zugriffe auf Konten bei Citibank und PayPal abgehört haben.

Gauss wurde von Kaspersky erstmals im September 2011 gesichtet und im Juni 2012 als Trojan-Spy.Win32.Gauss [10] identifiziert. Dies blieb den Urhebern des Trojaners nicht lange verborgen: Im Juli wurden die Steuerungs-Server deaktiviert; bei infizierten Systemen befindet sich der Trojaner seitdem in einem Schlafmodus. Kasperskys Sicherheitsnetzwerk zählte seit Mai 2012 etwa 2500 Infektionen – dies sind allerdings nur Funde auf Rechnern mit installierten Kaspersky-Produkten. Bei Flame hatte Kaspersky nur 700 Infektionen gezählt.

Wie Duqu und Flame enthält auch Gauss einen Selbstzerstörungsmechanismus [11] – nach 30 Aufrufen von einem USB-Stick aus löschte Gauss sich selbstständig, um einer Erkennung durch Virenschutzprogramme zu entgehen. (ghi [12])

URL dieses Artikels:
https://www.heise.de/-1664509

Links in diesem Artikel:
[1] http://de.wikipedia.org/wiki/Carl_Friedrich_Gauss
[2] https://www.heise.de/news/Flame-kam-angeblich-als-Windows-Update-aufs-System-1603288.html
[3] https://www.heise.de/news/Bericht-Israel-und-USA-entwickelten-Flame-1621770.html
[4] http://www.bankofbeirut.com/
[5] http://www.eblf.com/
[6] http://www.blom.com.lb/
[7] http://www.byblosbank.com/
[8] http://www.creditlibanais.com.lb/
[9] http://www.fransabank.com/
[10] http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution
[11] http://www.securelist.com/en/blog?weblogid=208193767
[12] mailto:ghi@ct.de