The Citadel Trojan har et nyt mål - adgangskode ledere holder passwords, der holder vigtige forvaltning produkter sikkert. IBM Trusteer forskere har meddelt, at de har informeret skabere eller nexus Personal Security Client, KeePass og Password Safe om en konfigurationsfil, de har opdaget på en kompromitteret PC målretning processer, der anvendes af de tilsvarende adgangskode ledere.
En IBM Trusteer ekspert forklarer, at filen "instruerer malware for at starte keylogging" som visse processer der kører. De nye Citadel konfigurationsfiler råber:
- Personal.exe proces i nexus Personal Security Client
- PWsafe.exe fra Password Safe
- KeePass.exe fra Password Safe
I disse tilfælde, malware søger efter master adgangskode for at låse adgangskodedatabasen opbevares af password ledelsesværktøj.
→"Nexus Personal Security Client er den kryptografiske middleware - samkøring stykke software - det gør de kryptografiske funktioner (underskrive og dekryptering) smarte medier til rådighed for PC og online-applikationer. Nexus Personal Security Client giver alle almindelige kryptografiske API'er, gør det muligt at problemfrit integreres med almindelige applikationer med indbyggede sikkerhedsfunktioner: domæne login, e-mail signatur og kryptering, dokument signering, VPN adgang, fil kryptering, brugerregistrering via Xenroll / CertEnroll, browser SSL og WebServices sikkerhed mv.
Endvidere, Nexus Personal Security Client indeholder en række browser-plug-in-moduler, som gør det nemt at brug af de smarte mediefunktioner i web-applikationer. På denne måde, Nexus Personal giver brugerne mulighed for at foretage sikre finansielle transaktioner, e-handel og andre sikkerhedsrelaterede afhængige tjenester direkte fra skrivebordet. PIN, PUK og certifikat management understøttes via en pre-installeret og nem at bruge GUI og online processer. "
Dana Tamir med IBM Trusteer rapporterede, at analysere processen med konfigurationsfilen viste, at C&C hackerne anvendte var en legit webserver. Men på tidspunktet for forskningen C&C-filer var allerede fjernet, så forskerholdet ikke har mulighed for at identificere forfatterne bag konfigurationen, eller om angrebene var rettet eller opportunistisk.
Ligesom andre populære malware familier, Citadel også gør et spring i retning af APT målrettede angreb. Hvad gør malware ekstremt farlig ud over det faktum, at Citadel allerede spredt sig til et stort netværk af inficerede computere, er de nye tilføjede funktioner og efterspørgslen efter legitime legitimationsoplysninger.
En version af Citadel var ansvarlig for angrebene petrokemiske virksomheder i September. Derefter, de anvendte Citadel varianter blev rettet e-mail-legitimationsoplysninger, så hackere kan få adgang til en kompromitteret netværk.
Citadel Malware Allerede har inficeret millioner af computere
Ifølge Tamir s skøn én i fem hundrede pc'er er inficeret med skadelig software, der bruges i målrettede APT-angreb.
Millioner af computere er allerede Citadel-inficerede. Dette gør det muligt for hackere at udnytte malware i nye kampagner. Ifølge Tamir, alle cyberkriminelle skal gøre er "give en ny konfigurationsfil til de millioner af eksisterende forekomster og vente på inficerede maskiner for at få adgang målene."
The Citadel malware kan være latent på en inficeret maskine i en længere periode, indtil brugeren gennemser et bestemt netbank hjemmeside eller en web-baseret login – afhænger af den måde, malware er blevet konfigureret. De fleste mennesker har ingen idé om deres computere er inficeret, og som kan drejes imod dem ganske let.