Bankarski trojanac Citadel po prvi put viđen u ciljanim APT napadima

Vesti, 17.09.2014, 11:00 AM

Istraživači kompanije IBM Trusteer otkrili su ciljane sajber napade na nekoliko bliskoistočnih petrohemijskih kompanija u kojima se koristi nova, opasna verzija poznatog bankarskog trojanca Citadel. Malver Citadel je prvobitno stvoren sa ciljem da krade novac sa bankovnih računa, i kao takav se masovno distribuirao, inficirajući računare korisnika širom sveta.

Iako korišćenje naprednog bankarskog malvera koji je dizajniran za krađu novca kao APT (advanced persistent threat) alata nije novost, ovo je prvi put da se Citadel koristi za ciljane APT napade na kompanije koje nisu banke. Citadel se prvi put sada koristi za pristupanje podacima sa ciljem krađe intelektualne svojine ili sticanja pristupa zaštićenim korporativnim sistemima kao što su mail sistemi.

Među žrtvama napada je i kompanija koja je jedan od najvećih prodavaca proizvoda petrohemijske industrije u regionu.

Malver Citadel prvi put je otkriven 2012. godine, kao man-in-the-browser malver koji krade korisnička imena i lozinke za online bankovne naloge. Od tada do danas malver je značajno evoluirao, tako da danas raspolaže širokim spektrom moćnih funkcionalnosti za krađu informacija i daljinsko upravljanje zaraženim računarima. Malver radi prema instrukcijama koje se nalaze u konfiguracionom fajlu. Kada se Citadel instalira na računaru, on preuzima konfiguracioni fajl sa servera za komandu i kontrolu (C&C serveri). Tako Citadel dobija instrukcije o tome koji web sajtovi i koje aplikacije su njegovi ciljevi, koje informacije treba da ukrade i kako.

Verzija malver Citadel koji se koristi u ovim APT napadima ima konfiguracioni fajl sa instrukcijama da traži pristup korisnika određenim URL adresama. Kada browser pristupi takvoj adresi, malver po uputstvu treba da ukrade sve informacije koje je ostavio korisnik. To se naziva “form grabbing” ili “HTTP POST grabbing”. Malver presreće informacije koje šalje browser pre nego što one budu šifrovane i poslate serveru.

Za krađu korisničkih imena i lozinki za pristup kompanijskom webmail sistemu, malver traži URL-ove kao što je “http://mail.target-company.com”, koji bi mogao biti login URL web mail sistema. Kada korisnik unese tražene podatke, malver krade korisničko ime, lozinku i svaku drugu informaciju koju korisnik unese u prazna polja tokom procesa prijavljivanja. Informacije se šalju sajber kriminalcima, koji se zatim mogu prijavljivati u korisnikovo ime, pristupati korporativnim emailovima, slati maliciozne emailove, na primer, veoma uverljive fišing emailove i mnogo toga još.

Novije verzije malvera Citadel mogu da beleže kucanje korisnika na tastaturi i da informacije o tome šalju napadačima.

Takođe, Citadel može da pravi screenshotove, snimajući sesije browsera tako da napadači vide sve ono što vidi i korisnik na ekranu. Sa istim ciljem, Citadel može da napravi video snimak sesije browsera.

Citadel može da ubacuje HTML sadržaj u legitimne web stranice kako bi ih izmenio i ukrao podatke od korisnika. To se često koristi za prikazivanje lažnih sigurnosnih upozorenja i zahteva za dodatnim informacijama tokom prijavljivanja, pregleda naloga i finansijskih transakcija.

Citadel omogućava napadačima i potpunu daljinsku kontrolu nad zaraženim računarom i pun pristup korporativnoj mreži.

Citadel je dizajniran tako da se sakrije od antivirusa i izbegne druge uobičajene kontrolne mehanizme.

Malver je dizajniran tako da oteža analizu istraživača koji zbog toga mogu imati poteškoće u pokušaju da razumeju delovanje malvera i metode napada.

Trend korišćenja ovakvih malvera u APT napadima nije nov, on je prisutan godinama, ali mnogi toga nisu svesni, kažu istraživači. APT napadi se još uvek povezuju isključivo sa veoma ciljanim napadima u kojima se koriste specijalno dizajnirani alati za napad na kompaniju (organizaciju) ili grupu kompanija.

Korišćenje masovno distribuiranih malvera znači da napadačima nije potreban spear fišing ili specijalno dizajniran malver. Umesto toga, oni koriste tehnike masovne distribucije da bi zarazili što više računara, objašnjavaju u IBM Trusteer. Ovi malveri mogu se šire preko malicioznih atačmenta u emailovima, u drive-by download napadima, u watering hole napadima i uz pomoć tehnika društvenog inženjeringa i tako zaraze milione računara u celom svetu.