O Citadel Trojan tem um novo alvo - gerenciadores de senhas que mantêm as senhas que mantêm produtos de gerenciamento importantes seguros. Os pesquisadores da IBM Trusteer anunciaram que informaram os criadores ou nexo Personal Security Client, KeePass e Password Safe sobre um arquivo de configuração que detectaram em um PC comprometido, visando processos usados pelos gerenciadores de senha correspondentes.
Um especialista IBM Trusteer explica que o arquivo "instrui o malware a iniciar o keylogging" enquanto certos processos estão em execução. Os novos arquivos de configuração do Citadel chamam:
- Processo Personal.exe no nexus Personal Security Client
- PWsafe.exe do Password Safe
- KeePass.exe do Password Safe
Nesses casos, o malware procura a senha mestra para desbloquear o banco de dados de senhas mantido pela ferramenta de gerenciamento de senhas.
→“NeXus Personal Security Client é o middleware criptográfico - a peça de software interligada - que torna as funções criptográficas (assinando e descriptografando) de smart media disponível para PC e aplicativos online. O neXus Personal Security Client fornece todas as APIs criptográficas comuns, permitindo que ele se integre perfeitamente a aplicativos comuns com funções de segurança incorporadas: login de domínio, assinatura e criptografia de e-mail, assinatura de documento, Acesso VPN, criptografia de arquivos, registro do usuário via XEnroll / CertEnroll, segurança SSL do navegador e WebServices etc..
além disso, O neXus Personal Security Client inclui vários módulos de plug-in de navegador, que facilitam o uso das funções de mídia inteligente em aplicativos da web. Nesse caminho, O neXus Personal permite que os usuários realizem transações financeiras seguras, e-commerce e outros serviços dependentes de segurança diretamente do desktop. PIN, O PUK e o gerenciamento de certificados são suportados por meio de uma GUI pré-instalada e fácil de usar e de processos online. ”
Dana Tamir com IBM Trusteer relatou que o processo de análise do arquivo de configuração revelou que o C&C que os hackers usaram era um servidor Web legítimo. Mas na hora da pesquisa o C&Arquivos C já foram removidos, então a equipe de pesquisa não teve a chance de identificar os autores por trás da configuração, ou se os ataques foram direcionados ou oportunistas.
Como outras famílias populares de malware, Citadel também dá um salto em direção a ataques direcionados de APT. O que torna o malware extremamente perigoso, além do fato de que o Citadel já se espalhou para uma grande rede de computadores infectados, são os novos recursos adicionados e a demanda por credenciais legítimas.
Uma versão do Citadel foi responsável pelos ataques contra empresas petroquímicas em setembro. Então, as variantes usadas do Citadel tinham como alvo as credenciais de e-mail para que os hackers pudessem obter acesso a uma rede comprometida.
O malware Citadel já infectou milhões de computadores
De acordo com a estimativa de Tamir, um em cada quinhentos PCs está infectado com software malicioso que é usado em ataques APT direcionados.
Milhões de computadores já estão infectados pelo Citadel. Isso permite que os hackers explorem o malware em novas campanhas. De acordo com Tamir, tudo o que os cibercriminosos precisam fazer é “fornecer um novo arquivo de configuração para milhões de instâncias existentes e esperar que as máquinas infectadas acessem os alvos”.
O malware Citadel pode ficar latente em uma máquina infectada por um longo período até que o usuário navegue em um determinado site de banco online ou em um login baseado na web – depende de como o malware foi configurado. A maioria das pessoas não tem ideia de que seus computadores estão infectados, e isso pode ser virado contra eles facilmente.
