Pratite nas preko RSS-aBankarski trojanac Citadel sada napada menadžere lozinki
Vesti, 21.11.2014, 00:06 AM
Kriminalci su počeli da koriste trojanca Citadel za krađu master lozinki za programe za upravljanje lozinkama i druge autentifikacione programe, upozoravaju stručnjaci.
Malver Citadel se obično koristi za krađu bankarskih kredencijala i drugih informacija koje su u vezi finansija i to tako što se "u letu" menjaju sajtovi banaka kada ih korisnici otvore u svojim browserima. Ta tehnika napada se naziva “čovek u browseru”.
Međutim, ranije ove godine istraživači Trusteera, koji je u vlasništvu kompanije IBM, objavili su svoje otkriće da se Citadel koristio u ciljanim napadima na petrohemijske kompanije.
Isti istraživači su nedavno pronašli Citadel na računarima korisnika koji cilja programe za upravljanje lozinkama. Konkretno, malver koga su pronašli istraživači je bio konfigurisan da beleži kucanje na tastaturi ako se pokrene neki od ovih fajlova: Personal.exe, Pwsafe.exe i KeePass.exe.
Personal.exe je deo neXus Personal Security Clienta, kriptografskog middlewarea koji je dizajniran da omogući korisnicima da na računaru bezbedno obave finansijske transkacije, kupuju i prodaju na interentu i da koriste druge usluge za koje je bezbednost veoma važna. Pwsafe.exe je povezan sa Password Safe, open-source programom za upravljanje lozinkama čiji je autor Brus Šnajer, poznati kriptograf i stručnjak za bezbednost. KeePass.exe je proces povezan sa jednim drugim open-source menadžerom lozinki nazvanim KeePass.
“Zbog toga što konfiguracioni fajl upućuje malver da beleži kucanje na tastaturi koje je u vezi sa široko korišćenim menadžerima lozinki i autentifikacionim rešenjima, ne možemo znati ko je tačno cilj napada”, kažu istraživači. “To bi mogao biti oportunistički napad u kome napadači pokušavaju da vide koja vrsta informacija može biti otkrivena preko ove konfiguracije, ili ciljani napad u kome napadači znaju da cilj koristi neko od ovih rešenja.”
Menadžeri lozinki se ne koriste samo za čuvanje lozinki. Većina njih ima kapacitet za popunjavanje formulara, tako da oni takođe mogu sačuvati informacije o kreditnoj kartici i druge lične podatke koje korisnici moraju pružiti na sajtovima na kojima obavljaju kupovinu ili na nekim drugim sajtovima. Kompromitovanjem master lozinke ovih programa, napadači koji stoje iza Citadela mogu takođe pristupiti i svim drugim osetljivim podacima.
Ipak, korišćenje programa za upravljanje lozinkama je uopšte uzev dobra ideja zato što ovi programi omogućavaju korisnicima lako korišćenje jakih lozinki za svaki online nalog, što je preporuka koju stručnjaci stalno ponavljaju. Ipak, oni nisu idealni, i korisnici moraju uzeti u obzir neke vrste napada kada koriste ove programe, a infekcija računara malverom je jedan od njih.
Srećom, neki od ovih programa nude dvostepenu verifikaciju. Ova opcija bi trebalo da bude uključena uvek kada je dostupna, da bi se izbeglo da neki ovakav program za upravljanje lozinki bude krivac za krađu lozinki.
Citadel, kao jedan od najrasprostranjenijih malvera, sve više je fokusiran na ciljane APT (Advanced persistent threat) napade. Nove funkcije i glad za lozinkama, čine ovaj malver koji se već nalazi na stotinama hiljada računara, posebno opasnim ne samo za bankarske servise već i za kritičnu infrastrukturu. Istraživači procenjuju da se jedan od 500 računara zaraženih ovim malverom koristi u ciljanim APT napadima.
"S obzirom da su milioni računara već zaraženi Citadelom, napadačima je lako da iskoriste ovaj malver u novim kriminalnim šemama", kažu iz Trusteera. "Sve što napadači treba da urade je da obezbede novi konfiguracioni fajl milionima postojećih primeraka malvera i sačekaju da inficirani računari pristupe ciljevima."
Citadel može na računaru čekati uspavan sve do trenutka kada korisnik pristupi određenom sajtu. U zavisnosti od toga kako je malver konfigurisan, njega će "probuditi" poseta korisnika određenom sajtu banke ili stranici za prijavljivanje na nalog nekog webmail servisa.
"On može ostati u stanju mirovanja na računaru korisnika nedeljama, mesecima pa čak i godinama sve dok ga ne aktivira korisnikova akcija", kažu istraživači. "To znači da mnogi korisnici i kompanije ne znaju da su njihovi računari već zaraženi i da se postojeća infekcija može brzo okrenuti protiv njih."
Izdvojeno
Lažni Gemini CLI i Claude Code sajtovi šire infostealer malvere
Istraživači kompanije EclecticIQ otkrili su novu kampanju u kojoj napadači koriste lažne sajtove koji se predstavljaju kao Google Gemini CLI i Ant... Dalje
Besplatna horor igra na Steamu pretvorila se u horor za igrače: malver krao lozinke i podatke iz kripto novčanika
Besplatna horor igra Beyond The Dark uklonjena je sa Steama nakon što su korisnici otkrili da je sadržala malver za krađu lozinki, podataka iz preg... Dalje
Ugašen servis za digitalno potpisivanje malvera koji je zloupotrebljavao Microsoftovu platformu
Microsoft je saopštio da je ugasio malware-signing-as-a-service (MSaaS) operaciju koja je zloupotrebljavala kompanijin Artifact Signing servis za gen... Dalje
MiniPlasma: stara ranjivost Windowsa ponovo aktuelna
Istraživač bezbednosti poznat pod pseudonimom Nightmare-Eclipse objavio je proof-of-concept exploit pod nazivom MiniPlasma, koji omogućava napadač... Dalje
Hakovan sajt popularnog JDownloadera, korisnici preuzimali trojanizovane instalere
Popularni menadžer za preuzimanje JDownloader nakratko je postao kanal za distribuciju malvera nakon što su napadači kompromitovali zvanični sajt ... Dalje
Pratite nas
Nagrade
Prijatelji
