La Cittadella di Troia ha un nuovo obiettivo - gestori di password in possesso delle password che mantengono importanti prodotti per la gestione sicura. I ricercatori IBM hanno annunciato Trusteer che hanno informato i creatori o nexus Client Security Personal, KeePass Password Safe e su un file di configurazione che hanno rilevato su un PC compromesso processi utilizzati dai corrispondenti password manager di targeting.
Un esperto IBM Trusteer spiega che il file "indica il malware per iniziare keylogging", come alcuni processi sono in esecuzione. I nuovi file di configurazione Citadel chiamano:
- Processo Personal.exe in nesso Client Security Personal
- PWsafe.exe da Password Safe
- KeePass.exe da Password Safe
In questi casi, le ricerche di malware per la master password per sbloccare il database delle password tenuto dallo strumento di gestione delle password.
→"Client Nexus Personal Security è il middleware crittografico - il pezzo interconnessione di software - che rende le funzioni di crittografia (la firma e la decrittografia) supporto delle smart disponibili per PC e applicazioni online. Cliente Nexus Personal Security fornisce tutte le API di crittografia comuni, permettendogli di integrarsi perfettamente con le applicazioni più comuni con funzioni di sicurezza integrate: login dominio, firma e-mail e crittografia, firma documento, Accesso VPN, crittografia dei file, Registrazione utente via XEnroll / CertEnroll, Browser SSL e WebServices sicurezza ecc.
Inoltre, Cliente neXus Personal Security include una serie di moduli plug-in del browser, che fare per un facile utilizzo delle funzioni multimediali intelligenti nelle applicazioni web. In questo modo, neXus Personal permette agli utenti di effettuare transazioni finanziarie sicure, e-commerce e di altri servizi di sicurezza dipendenti direttamente dal desktop. PIN, PUK e il certificato di gestione è supportato tramite un processo GUI e linea preinstallate e facile da usare. "
Dana Tamir con IBM Trusteer riferito che il processo di analisi del file di configurazione rivelato che il C&C gli hacker utilizzato era un server Web legit. Ma al momento della ricerca della C&File C sono stati già rimossi, così il team di ricerca non ha avuto la possibilità di identificare gli autori dietro la configurazione, o se gli attacchi sono stati presi di mira o opportunistica.
Come altre famiglie di malware popolare, Cittadella fa anche un salto verso attacchi mirati APT. Ciò che rende il malware estremamente pericoloso oltre al fatto che la Cittadella è già diffuso in una vasta rete di computer infetti, sono le nuove caratteristiche aggiunte e la richiesta di credenziali legittime.
Una versione di Cittadella è stato responsabile degli attacchi contro le compagnie petrolchimiche nel mese di settembre. Poi, le varianti Cittadella utilizzati sono stati di mira le credenziali di posta elettronica in modo che gli hacker possano accedere a una rete compromessa.
Cittadella Malware Già ha milioni di computer infetti
Secondo la stima di Tamir uno su cinquecento PC è infetto da software dannoso che viene utilizzato in attacchi mirati APT.
Milioni di computer sono già Cittadella-infetti. Ciò consente agli hacker di sfruttare il malware in nuove campagne. Secondo Tamir, tutti i criminali informatici hanno bisogno di fare è "fornire un nuovo file di configurazione per i milioni di istanze esistenti e aspettare che le macchine infette per accedere gli obiettivi."
Il malware Cittadella può essere latente su una macchina infetta per un lungo periodo finché l'utente accede un particolare sito di online banking o un accesso web-based – dipende dal modo in cui il malware è stato configurato. La maggior parte delle persone non hanno idea i loro computer sono infetti, e che può essere attivata contro di loro abbastanza facilmente.
