Architecture du trojan Gauss

Au cours de leur enquête sur le super worm Flame de 20MB, des chercheurs en sécurité de Kaspersky Lab ont découvert un de ses cousins appelé Gauss. Ce trojan aurait déjà infecté des dizaines de milliers d'ordinateurs au Liban, en Israël et en Palestine.

Son objectif est de voler les données utilisateurs, y compris les mots de passe (de comptes bancaires principalement), les cookies, l'historique du navigateur, et d'autres données confidentielles. Celui-ci installe également, pour une raison inconnue, une police d'écriture personnalisée appelée "Narrow palida".

Vous avez sûrement déjà entendu parler de Gauss ? Et bien ce nom viendrait probablement du célèbre mathématicien allemand Carl Friedrich Gauss qui est le nom du module principal de ce trojan. D'autres noms de mathématiciens réputés ont également été utilisés pour nommer des sous-modules.

Pour l'instant il est difficile de déterminer quelle faille de sécurité a été exploitée pour accéder aux systèmes. La seule chose que savent les chercheurs, c'est que le trojan s'est propagé via clé USB et a utilisé le même exploit qui reconditionne les fichiers .lnk comme pour Flame ou Stuxnet. Ensuite Gauss stocke dans un fichier caché les données récupérées.

Relation entre Stuxnet, Duqu, Flame et Gauss

Gauss est assez similaire à Flame, tant par sa composition que par la structure de ses modules ainsi que l'architecture du code et des moyens pour accéder aux serveurs C&C. Cela donne comme hypothèse qu'ils sont originaires de la même source. Rappelez-vous de Flame et Stuxnet qui ont été attribué aux services secrets Israéliens et Américains.

Alors si on se place dans ce contexte, il est particulièrement inhabituel que des trojans comme Gauss aient pour cible des données bancaires d'utilisateurs. Kaspersky note d'ailleurs que ce trojan faisait des recherches de données spécifiques sur la Bank of Beirut, la Banque Libano-Française (EBLF), la Blom Bank, la Byblos Bank, le Credit Libanais et Fransabank. Il est également soupçonné d'avoir intercepté des données provenant de Citibank et Paypal.

Gauss a été aperçu la première fois par Kaspersky en Septembre 2011 et a été identifié comme Trojan-Spy.Win32.Gauss en Juin 2012. Les créateurs du trojan ont vite pris conscience de la découverte lorsque leurs serveurs C&C ont été mis hors ligne en Juillet. Depuis, d'autres systèmes infectés contiennent encore le trojan mais celui-ci s'est apparemment mis en mode hibernation. Kaspersky Security Network (KSN) a compté plus de 2.500 infections depuis Mai 2012 mais cela comprend seulement les systèmes ayant Kaspersky d'installé. En revanche, Kaspersky avait compté seulement 700 infections par Flame.

Comme Duqu et Flame, Gauss contient un système d'auto-destruction : au bout de 30 exécutions du payload à partir d'une clé USB, le trojan se supprime automatiquement pour éviter d'être détecté par les anti-virus.