Décidément, les créateurs de virus et autres chevaux de Troie n’en finissent pas de nous surprendre…
C’est Kaspersky Lab, société de sécurité informatique d’origine russe fournissant un antivirus éponyme, qui nous l’a annoncé hier. Comme Stuxnet et Flame, Gauss est une nouvelle cybermenace qui cible des utilisateurs au Moyen-Orient. Il semblerait que Gauss a été développé dans les mêmes laboratoires que Stuxnet. Pour rappel, Stuxnet est un ver informatique qui a (avait ?) pour objectif de s’attaquer à des systèmes iraniens, comme les centres d’enrichissement d’uranium à Natanz.
Gauss veut s’attaquer aux transactions financières…
Le but de Gauss est de collecter des informations auprès des navigateurs Internet sur la machine, en particulier l’historique des sites Web fréquentés, les mots de passe, mais aussi les mails. Mais il semble que Gauss cible certains établissements bancaires en particulier. Notamment plusieurs banques libanaises : Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank et le Crédit Libanais. Mais également les utilisateurs de Citibank et PayPal.
Le lancement de nouveau Gauss n’est pas récent. Il serait en activité depuis septembre 2011 et aurait déjà contaminé environ 2500 machines au Liban, en Israël et dans les territoires palestiniens.
Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab, commente : « Gauss présente des ressemblances frappantes avec Flame, telles que sa conception et son code source, ce qui nous a permis de découvrir ce programme malveillant. Tout comme Flame et Duqu, Gauss est un kit complexe d’outils de cyberespionnage, développé avec soin et dans le plus grand secret. Cependant, son objectif est différent de celui de ses deux prédécesseurs. Il cible une multitude d’utilisateurs dans certains pays afin de leur dérober de grandes quantités de données, plus particulièrement des informations bancaires et financières. »
Gauss utilise la même vulnérabilité LNK qu’utilisée par Stuxnet et Flame pour s’installer sur une clé USB. Mais Gauss est aussi capable de « désinfecter » le support amovible dans certaines circonstances et s’en sert ensuite pour y stocker les diverses informations recueillies, dans un fichier caché. Plus étonnant, ce cheval de Troie installerait une police de caractères spéciale appelée Palida Narrow, ayant un dessein encore inconnu à ce jour.
Pensez à mettre à jour votre antivirus 😉