Bankarski trojanac Citadel sada napada menadžere lozinki

Vesti, 21.11.2014, 00:06 AM

Kriminalci su počeli da koriste trojanca Citadel za krađu master lozinki za programe za upravljanje lozinkama i druge autentifikacione programe, upozoravaju stručnjaci.

Malver Citadel se obično koristi za krađu bankarskih kredencijala i drugih informacija koje su u vezi finansija i to tako što se "u letu" menjaju sajtovi banaka kada ih korisnici otvore u svojim browserima. Ta tehnika napada se naziva “čovek u browseru”.

Međutim, ranije ove godine istraživači Trusteera, koji je u vlasništvu kompanije IBM, objavili su svoje otkriće da se Citadel koristio u ciljanim napadima na petrohemijske kompanije.

Isti istraživači su nedavno pronašli Citadel na računarima korisnika koji cilja programe za upravljanje lozinkama. Konkretno, malver koga su pronašli istraživači je bio konfigurisan da beleži kucanje na tastaturi ako se pokrene neki od ovih fajlova: Personal.exe, Pwsafe.exe i KeePass.exe.

Personal.exe je deo neXus Personal Security Clienta, kriptografskog middlewarea koji je dizajniran da omogući korisnicima da na računaru bezbedno obave finansijske transkacije, kupuju i prodaju na interentu i da koriste druge usluge za koje je bezbednost veoma važna. Pwsafe.exe je povezan sa Password Safe, open-source programom za upravljanje lozinkama čiji je autor Brus Šnajer, poznati kriptograf i stručnjak za bezbednost. KeePass.exe je proces povezan sa jednim drugim open-source menadžerom lozinki nazvanim KeePass.

“Zbog toga što konfiguracioni fajl upućuje malver da beleži kucanje na tastaturi koje je u vezi sa široko korišćenim menadžerima lozinki i autentifikacionim rešenjima, ne možemo znati ko je tačno cilj napada”, kažu istraživači. “To bi mogao biti oportunistički napad u kome napadači pokušavaju da vide koja vrsta informacija može biti otkrivena preko ove konfiguracije, ili ciljani napad u kome napadači znaju da cilj koristi neko od ovih rešenja.”

Menadžeri lozinki se ne koriste samo za čuvanje lozinki. Većina njih ima kapacitet za popunjavanje formulara, tako da oni takođe mogu sačuvati informacije o kreditnoj kartici i druge lične podatke koje korisnici moraju pružiti na sajtovima na kojima obavljaju kupovinu ili na nekim drugim sajtovima. Kompromitovanjem master lozinke ovih programa, napadači koji stoje iza Citadela mogu takođe pristupiti i svim drugim osetljivim podacima.

Ipak, korišćenje programa za upravljanje lozinkama je uopšte uzev dobra ideja zato što ovi programi omogućavaju korisnicima lako korišćenje jakih lozinki za svaki online nalog, što je preporuka koju stručnjaci stalno ponavljaju. Ipak, oni nisu idealni, i korisnici moraju uzeti u obzir neke vrste napada kada koriste ove programe, a infekcija računara malverom je jedan od njih.

Srećom, neki od ovih programa nude dvostepenu verifikaciju. Ova opcija bi trebalo da bude uključena uvek kada je dostupna, da bi se izbeglo da neki ovakav program za upravljanje lozinki bude krivac za krađu lozinki.

Citadel, kao jedan od najrasprostranjenijih malvera, sve više je fokusiran na ciljane APT (Advanced persistent threat) napade. Nove funkcije i glad za lozinkama, čine ovaj malver koji se već nalazi na stotinama hiljada računara, posebno opasnim ne samo za bankarske servise već i za kritičnu infrastrukturu. Istraživači procenjuju da se jedan od 500 računara zaraženih ovim malverom koristi u ciljanim APT napadima.

"S obzirom da su milioni računara već zaraženi Citadelom, napadačima je lako da iskoriste ovaj malver u novim kriminalnim šemama", kažu iz Trusteera. "Sve što napadači treba da urade je da obezbede novi konfiguracioni fajl milionima postojećih primeraka malvera i sačekaju da inficirani računari pristupe ciljevima."

Citadel može na računaru čekati uspavan sve do trenutka kada korisnik pristupi određenom sajtu. U zavisnosti od toga kako je malver konfigurisan, njega će "probuditi" poseta korisnika određenom sajtu banke ili stranici za prijavljivanje na nalog nekog webmail servisa.

"On može ostati u stanju mirovanja na računaru korisnika nedeljama, mesecima pa čak i godinama sve dok ga ne aktivira korisnikova akcija", kažu istraživači. "To znači da mnogi korisnici i kompanije ne znaju da su njihovi računari već zaraženi i da se postojeća infekcija može brzo okrenuti protiv njih."