Citadel malware er nu målrettet mod adgangskodeadministrationsprogrammer

Attackere er startet Citadel-malware har typisk været brugt til at stjæle internetbankoplysninger og andre finansielle oplysninger ved at ændre banksteder i flyve, når de åbnes af brugere i deres lokale browsere. Teknikken er kendt som en man-i-browser-angreb.

Sikkerhedsforskere fra Trusteer, et datterselskab af IBM, rapporterede imidlertid tidligere om året, at Citadel også blev brugt til målrettede angreb mod petrokemiske virksomheder. > [Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

De samme forskere har for nylig fundet en Citadel-konfiguration på en kundes computer, der målrettede adgangskodeadministrationsprogrammer. Specielt malware blev konfigureret til at starte en nøglelogning, hvis en af ​​følgende filer kørte: Personal.exe, PWsafe.exe og KeePass.exe.

Personal.exe er en del af neXus Personal Security Client, en applikation, der giver kryptografiske API'er til online-applikationer at kommunikere med godkendelseskort, der er indsat i pc'er. Produktet er designet til at lade brugerne foretage sikre finansielle transaktioner, e-handel og andre sikkerhedsafhængige tjenester direkte fra skrivebordet, "ifølge sælgeren.

PWsafe.exe er forbundet med Password Safe, en open source-adgangskode administrationsprogram oprindeligt designet af kryptograf og sikkerhedsekspert Bruce Schneier og KeePass.exe er en proces der er forbundet med en anden open-source adgangskodeadministrator kaldet KeePass.

"Da konfigurationsfilen instruerer malware til at indfange tastetryk i forbindelse med almindeligt anvendt adgangskodeadministration og autentificeringsløsninger, kan vi ikke vide, hvem der præcist er målet for angrebet, "skrev IBM forskerne i et blogindlæg. "Det kan være et opportunistisk angreb, hvor angriberne forsøger at se hvilken type information de kan udsætte gennem denne konfiguration eller et mere målrettet angreb, hvor angriberne ved, at målet bruger disse specifikke løsninger."

Adgangskode administrationsprogrammer bruges ikke kun til at gemme adgangskoder. De fleste af dem har også formfyldningsfunktioner, så de kan også gemme kreditkortoplysninger og andre personlige oplysninger, som brugere regelmæssigt skal levere på shopping eller andre websteder. Ved at gå på kompromis med hovedadgangskoden til disse programmer kan angriberne bag Citadel malware også få adgang til alle disse følsomme oplysninger.

Brug af programmer til adgangskodeadministration er generelt en god ide, fordi de gør det nemt at bruge stærke, individuelle adgangskoder for hver online-konto, som er en stærkt anbefalet sikkerhedspraksis. Der er dog flere angrebsvektorer, som brugerne skal tage i betragtning ved anvendelse af sådanne programmer, og malwareinfektioner er en af ​​dem.

Heldigvis tilbyder de fleste adgangskodeadministrationsprogrammer tofaktorautentificering, herunder Password Safe, der understøtter YubiKey hardware tokens som en anden autentificeringsfaktor. Disse valgmuligheder skal altid tændes for at undgå, at hovedadgangskoder bliver et enkelt punkt for fejl.