Un nuovissimo e temibile virus progettato apposta per il furto di dati sensibili durante l’utilizzo dell’internet banking è stato individuato dall’azienda di sicurezza informatica Kaspersky; si chiama Gauss ed è un malware in grado di spiare e rubare informazioni bancarie, accesso ai social network, email e instant messaging. Come struttura è molto somigliante a Flame e Duqu, scoperti qualche tempo addietro sempre dalla stessa società e i molteplici moduli di cui si compone questo nuovissimo trojan sono appositamente fatti per raccogliere informazioni dai browser, tra cui la cronologia, i cookies, le password e le configurazioni di sistema.
Il livello di sofisticazione conferma inoltre che è stato sviluppato da una nazione avanzata e Gauss è perfettamente capace di carpire le credenziali di accesso a vari sistemi di internet banking e altri servizi di pagamento online e un’altra sua caratteristica consiste nell’abile capacità di infettare i drive USB con riconoscimento di impronta usando la stessa vulnerabilità LNK precedentemente sfruttata da Stuxnet e Flame.
Stando a quanto comunicato dai Kasperky Lab, che hanno sede a Mosca, Gauss avrebbe già infettato oltre 2.500 personal computer, la maggior parte di questi localizzati in Libano, Israele e in territori palestinesi. Tra gli obiettivi colpiti ci sarebbero istituti di credito libanesi come Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank e Credit Libanais, ma il trojan avrebbe già preso di mira anche account PayPal e Citibank.
Kaspersky Lab non vuole rivelare chi ci sia dietro Gauss, ma ha indicato che il virus è legato al cyber-spionaggio, in quanto “intende colpire un rilevante numero di utenti in determinati paesi, finalizzato al furto di grandi quantità di dati, con una particolare predilezione per le informazioni di natura bancaria e finanziaria”.
L’aspetto più preoccupante è che i dati confermerebbero l’operatività di Gauss dal settembre 2011, mentre la sua scoperta risale solo a giugno 2012. Attualmente l’infrastruttura di server che lo gestiva è stata disattivata, ma si ritiene che il malware sia solo in modalità dormiente.