Die Zitadelle Trojan hat ein neues Ziel - Passwort-Manager halten die Passwörter, die wichtige Management-Produkte sicher zu halten. IBM Trusteer Forscher haben angekündigt, dass sie die Schöpfer oder Nexus Personal Security Client informiert, KeePass Password Safe und über eine Konfigurationsdatei sie auf einem kompromittierten PC Targeting Prozesse durch die entsprechenden Passwort-Manager verwendet erkannt haben.
Ein IBM Trusteer Experte erklärt, dass die Datei "weist die Malware auf Keylogger starten", wie bestimmte Prozesse ausgeführt werden. Die neuen Citadel Konfigurationsdateien rufen:
- Personal.exe Prozess in Nexus Personal Security Client
- PWsafe.exe von Password Safe
- KeePass.exe von Password Safe
In diesen Fällen, die Malware sucht nach dem Master-Passwort, um das Passwort-Datenbank durch das Passwort-Management-Tool gehalten entsperren.
→"Nexus Personal Security Client ist die kryptografische Middleware - die Vernetzung Stück Software -, die die kryptographischen Funktionen macht (Signieren und Entschlüsseln) der Smart-Medien zur Verfügung PC und Online-Anwendungen. Nexus Personal Security Client bietet alle gängigen Verschlüsselungs APIs, ermöglicht es die nahtlose Integration mit gängigen Anwendungen mit eingebetteten Sicherheitsfunktionen: Domain-Anmeldung, E-Mail-Signatur und Verschlüsselung, Dokumenten-Signierung, VPN-Zugang, Dateiverschlüsselung, Benutzerregistrierung über XEnroll / CertEnroll, Browser SSL und WebServices Sicherheit usw..
Weiter, Nexus Personal Security Client umfasst eine Reihe von Browser-Plug-in-Module, , die für die einfache Nutzung der Smart-Media-Funktionen in Web-Anwendungen machen. Auf diese Weise, Nexus Personal ermöglicht es Benutzern, eine sichere Finanztransaktionen durchführen, E-Commerce und andere sicherheits abhängigen Dienste direkt vom Desktop aus. PIN, PUK und Zertifikatsverwaltung erfolgt über eine vorinstallierte und einfach zu bedienende Benutzeroberfläche und Online-Prozesse unterstützt. "
Dana Tamir IBM Trusteer berichtet, dass der Analyseprozess der Konfigurationsdatei zeigte, dass die C&C die Hacker verwendet wurde, war eine legitime Web-Server. Aber zum Zeitpunkt der Untersuchung des C&C-Dateien wurden bereits entfernt, so das Forscherteam nicht die Möglichkeit, die Autoren hinter der Konfiguration zu identifizieren, oder ob die Angriffe missbraucht oder opportunistische wurden.
Wie andere beliebte Malware-Familien, Citadel macht auch einen Sprung in Richtung APT gezielte Angriffe. Was macht die Malware extrem gefährlich neben der Tatsache, dass Citadel ist bereits zu einem großen Netzwerk von infizierten Computern zu verbreiten, sind die neuen Zusatzfunktionen und die Nachfrage nach legitimen Anmeldeinformationen.
Eine Version des Citadel war für die Angriffe gegen petrochemische Unternehmen im September verantwortlich. Dann, die verwendeten Citadel Varianten wurden E-Mail-Anmeldeinformationen Targeting so die Hacker könnte den Zugang zu einem kompromittierten Netzwerk zu erhalten.
Citadel Malware bereits infizierten Millionen von Computern
Nach Tamir Einschätzung einer in fünfhundert PCs mit bösartiger Software, die in gezielten Angriffen APT verwendet wird, infiziert ist.
Bereits Citadel-infizierten Millionen von Computern sind. Dies ermöglicht es Hackern, um die Malware in neue Kampagnen zu nutzen. Nach Tamir, alle Cyber-Kriminelle tun müssen, ist "eine neue Konfigurationsdatei für die Millionen von vorhandenen Instanzen und warten auf infizierten Rechnern, um die Ziele zu gelangen."
Die Zitadelle Malware kann auf einem infizierten Rechner latent sein für eine längere Zeit, bis der Benutzer eine bestimmte Online-Banking-Website oder eine Web-basierte Anmeldung durchsucht – abhängig von der Art und Weise die Malware so konfiguriert wurde,. Die meisten Menschen haben keine Ahnung, ihre Computer infiziert sind,, und das kann gegen sie ganz einfach ausgeschaltet werden.
