citadelZapamiętanie wielu haseł nie jest łatwe szczególnie, gdy do każdej witryny używamy innego, unikalnego – znacznie zwiększa to bezpieczeństwo przechowywanych w serwisach internetowych danych, z kolei bardzo trudno zapamiętać kilkanaście lub kilkadziesiąt unikalnych haseł, nawet wtedy, gdy tworzone są według wymyślonego przez nas schematu. Aby temu zaradzić, istnieje co najmniej kilka skutecznych metod do poradzenia sobie z tym problemem. Najbardziej „user-frendly” są menadżery haseł takie jak Password Safe i KeePass. Szczególnie ten drugi jest polecany przez niezależnych badaczy bezpieczeństwa. Jednak nawet najlepsze aplikacje nie ochronią naszych danych w 100 procentach, szczególnie kiedy stają w szranki z ukierunkowanym malware. A tak jest w przypadku trojana Citadel.

Nowe kompilacje Citadel

Badacze bezpieczeństwa z IBM Trusteer odkryli nowy wariant trojana Citadel służącego do kradzieży haseł z aplikacji do zarządzania bazami haseł i z innych programów uwierzytelniania. Pierwsze kompilacje Citadel pamiętają jeszcze rok 2011, jednak ówczesne próbki zostały ulepszone o nowe mechanizmy kradzieży danych. Cytadela to jeden z najbardziej popularnych trojanów na rynku szkodliwego oprogramowania. Na szczęście jego autor znany jako Aquabox został wyrzucony z dużego undergroundowego forum internetowego, na którym sprzedaje się malware i inne usługi dla cyberprzestępców. Eksperci uważają, że nowy wariant, który obejmuje ransomware został opracowany z konkretnym zamiarem zaatakowania amerykańskiego sektora bankowego.

Trojan Citadel lub Cytadela jest wykorzystywany do kradzieży uwierzytelniających danych bankowych oraz innych informacji, szczególnie loginów i haseł z menadżerów haseł poprzez maskowanie się, z wykorzystaniem przeglądarki do oszukania użytkownika podczas sesji online - atak MITB (Man In The Browser). Podobnie jak większość ataków tego typu, MITB rozpoczyna się od infekcji systemu złośliwym oprogramowaniem, które wstrzykuje do przeglądarki internetowej złośliwy kod i czeka, aż użytkownik otworzy stronę internetową z logowaniem. W tym momencie uwalnia swój payload i oczekuje na wprowadzenie poufnych informacji. Atak MITB (man-in-the-browser) transparentnie w czasie trwania sesji online przechwytuje przesyłaną zawartość przez przeglądarkę do strony internetowej, użytkownik nie jest w stanie nic zaobserwować. Przed udaną modyfikacją lub (oraz) przechwyceniem danych nie uchroni nas nawet szyfrowany protokół SSL, ani dwuskładnikowe uwierzytelnianie stosowane coraz częściej przez wiele serwisów internetowych – nad przeglądarką użytkownik nie ma już pełnej kontroli.

Hasła typu MASTER zagrożone

Naukowcy z IBM Trusteed zauważyli, że nowe pliki konfiguracyjne osławionego malware zostały zmodyfikowane tak, by uruchamiać keyloggera, gdy otwarta jest aplikacja Password Safe lub KeePass. Cytadela jest tak zaprogramowany, by wykradać hasła MASTER służące jako dostęp do całej bazy z poufnymi informacjami do wielu stron i aplikacji np. FTP. Ponadto, nowy wariant Citadel skierowany jest również w rozwiązania firmy Nexus służące do zabezpieczania transakcji finansowych oraz innych usług, które wymagają podwyższonego bezpieczeństwa.

Jak Citadel kradnie hasła?

Po zainfekowaniu komputera trojan czeka, aż jeden ze skonfigurowanych po stronie C2 plików konfiguracyjnych uruchomi na komputerze ofiary szkodliwy proces, który będzie rejestrował naciśnięcia klawiszy umożliwiając cyberprzestępcom przejęcie kontroli nad naszą bazą danych poufnych informacji.

W czerwcu ubiegłego roku Microsoft wraz z FBI i firmami świadczącymi usługi finansowe zapoczątkowali operację wymierzoną w botnety dystrybuujące trojana Citadel. FBI szacuje, że malware to wykradło ponad 500 milionów euro z rachunków bankowych w ciągu ostatnich 18 miesięcy. W tym czasie operacja zdjęcia największej liczby botnetów doprowadziła do unieszkodliwienia ponad 90 procent wszystkich złośliwych serwerów rozprzestrzeniających Citadel.

Jak się chronić przed Citadel?

Z uwagi na szeroki wachlarz możliwości trojana Citadel oraz na różnorodne medium infekowania komputerów (e-mail, www, USB), należy wyposażyć swój system w kompleksową ochronę antywirusową, która wsparta zabezpieczeniem przeglądarki, modułem antyspamowym oraz automatycznym skanowaniem urządzeń USB zatrzyma szkodnika w momencie, w którym będzie to najmniej prawdopodobne. Z pełnych wersji programów antywirusowych firmy Arcabit może skorzystać każdy przez okres 30 dni, po tym czasie należy wykupić roczny abonament lub odinstalować program. A jak pokazują najnowsze testy Virus Bulletin, programy Arcabit dla użytkowników domowych i dla firm oferują jeden z najwyższych poziomów ochrony. 

źródło: Arcabit