De Citadel Trojan heeft een nieuw doel - password managers houden van de wachtwoorden die belangrijke management producten veilig te houden. IBM Trusteer onderzoekers hebben aangekondigd dat zij de maker of nexus Personal Security Client heeft geïnformeerd, KeePass Password Safe en over een configuratiebestand dat ze op een gecompromitteerde pc targeting processen die door het bijbehorende wachtwoord managers hebben gedetecteerd.
Een IBM Trusteer expert legt uit dat het bestand "instrueert de malware om keyloggers te beginnen" als bepaalde processen worden uitgevoerd. De nieuwe Citadel configuratiebestanden roepen:
- Personal.exe proces in nexus Personal Security Client
- PWsafe.exe van Password Safe
- KeePass.exe van Password Safe
In deze gevallen, de malware zoekt naar de master-wachtwoord om het wachtwoord-database door het wachtwoord management tool gehouden ontgrendelen.
→"Nexus Personal Security Client is de cryptografische middleware - de koppeling stukje software - dat de cryptografische functies maakt (ondertekenen en ontsleutelen) van slimme media beschikbaar voor PC en online-toepassingen. Nexus Personal Security Client biedt alle gangbare cryptografische API's, waardoor het naadloos integreren met gangbare toepassingen met ingebouwde beveiligingsfuncties: domeinlogin, e-mail handtekening en encryptie, ondertekening document, VPN-toegang, bestandsencryptie, gebruikersregistratie via Xenroll / CertEnroll, browser SSL en WebServices beveiliging etc.
Bovendien, Nexus Personal Security Client bevat een aantal van de browser plug-in modules, die zorgen voor eenvoudig gebruik van de slimme media functies in web applicaties. Zo, Nexus Personal kunnen gebruikers veilige financiële transacties uit te voeren, e-commerce en andere security-afhankelijke diensten rechtstreeks vanaf de desktop. PIN, PUK en certificaat beheer wordt ondersteund via een vooraf geïnstalleerde en eenvoudig te gebruiken GUI en online processen. "
Dana Tamir met IBM Trusteer gemeld dat het analyseproces van het configuratiebestand bleek dat de C&C de hackers gebruikt was een legit webserver. Maar ten tijde van het onderzoek de C&C dossiers werden reeds verwijderd, zodat het onderzoeksteam heeft de kans om de auteurs te identificeren achter de configuratie niet, of dat de aanvallen waren gericht of opportunistische.
Net als andere populaire malware families, Citadel maakt ook een sprong naar APT gerichte aanvallen. Wat maakt de malware zeer gevaarlijk naast het feit dat de Citadel al wordt verspreid naar een groot netwerk van geïnfecteerde computers, zijn de nieuwe toegevoegde functies en de vraag naar legitieme referenties.
Een versie van de Citadel was verantwoordelijk voor de aanslagen op petrochemische bedrijven in september. Dan, de gebruikte Citadel varianten werden targeting email referenties zodat de hackers toegang tot een gecompromitteerde netwerk kon krijgen.
Citadel Malware Reeds heeft besmet miljoenen computers
Volgens Tamir de schatting één op vijfhonderd pc is geïnfecteerd met kwaadaardige software die wordt gebruikt in gerichte APT aanvallen.
Miljoenen computers zijn al Citadel-geïnfecteerde. Dit laat hackers om de malware in nieuwe campagnes te exploiteren. Volgens Tamir, alle cybercriminelen hoeft te doen is "een nieuw configuratiebestand te verlenen aan de miljoenen bestaande exemplaren en wacht tot geïnfecteerde computers om toegang te krijgen tot de doelstellingen."
De Citadel malware kan latent zijn op een geïnfecteerde machine voor een lange periode totdat de gebruiker een bepaalde online banking website of een web-based login grasduint – hangt af van de manier waarop de malware is geconfigureerd. De meeste mensen hebben geen idee van hun computers geïnfecteerd zijn, en die kan worden gedraaid tegen hen vrij gemakkelijk.
