Злоумышленники используют вредоносную программу Citadel против менеджеров паролей

21.11.2014 | 01:20 Экономика

Новая конфигурация Citadel ворует мастер-ключи у двух менеджеров паролей и программы безопасной аутентификации

Злоумышленники начали использовать троянскую программу Citadel для кражи мастер-паролей из программ управления паролями и других программ аутентификации.

Вредоносная программа Citadel, как правило, использовалась для кражи онлайновых банковских учетных данных и другой финансовой информации, изменяя банковские сайты на лету, когда они были открыты пользователями в браузерах. Техника известна как атака «man-in-the-browser».

В начале этого года, исследователи в области безопасности из Trusteer, дочерней компании IBM, сообщили, что Citadel также используется в целевых атаках против нефтехимических компаний.

Те же исследователи недавно обнаружили конфигурацию Citadel на компьютере клиента, которая нацелена на программы управления паролями. В частности, вредоносная программа была настроена, чтобы начать операцию кейлоггинга, если любой из следующих файлов будет запущен: Personal.exe, PWsafe.exe и KeePass.exe.

Personal.exe является частью neXus Personal Security Client — приложения, которое предоставляет криптографические интерфейсы для онлайн-приложений, использующих смарт-карты аутентификации, вставленные в ПК. Продукт предназначен, чтобы позволить пользователям «пользоваться безопасными финансовыми транзакциями, электронной коммерцией и другими сервисами, требующими безопасности, прямо с рабочего стола», в соответствии с информацией производителя.

Файл PWsafe.exe связан с Password Safe, приложением управления паролями с открытым исходным кодом, первоначально разработанным экспертом по шифрованию и безопасности Брюсом Шнайером, а KeePass.exe — это процесс, связанный с другим менеджером паролей с открытым исходным кодом, под названием KeePass.

«Из-за того, что конфигурационный файл вредоносного ПО настроен на запись нажатия клавиш при запуске широко применяемых менеджеров паролей и решений аутентификации, мы не можем знать, кто именно является целью атаки», написали в своем блоге исследователи IBM. «Это может быть незапланированная атака, при которой злоумышленники пытаются узнать, какой тип информации они могут получить при этой конфигурации, или более целенаправленная атака, при которой нападавшие знали, что цель использовала эти конкретные решения».

Приложения для управления паролями используются не только для хранения паролей. Большинство из них также имеют возможности заполнения шаблонов, поэтому они могут хранить информацию о кредитных картах и другие личные данные, которые пользователям регулярно нужно предоставлять в интернет-магазинах или на других сайтах. С помощью кражи мастер-пароля этих программ, злоумышленники, стоящие за вредоносной программой Citadel могут получить доступ ко всей конфиденциальной информации.

Использование менеджера паролей, как правило, хорошая идея, потому что он позволяет легко использовать сильные, индивидуальные пароли для каждого онлайн-аккаунта, что является рекомендуемой практикой безопасности. Тем не менее, существует несколько векторов атаки, которые пользователи должны принять во внимание при использовании таких программ, и вредоносные инфекции являются одним из них.

К счастью, большинство программ управления паролями предлагают двухфакторную аутентификацию, в том числе Password Safe, которая поддерживает аппаратные токены YubiKey в качестве второго фактора аутентификации. Эта опция всегда должна быть включена, чтобы избежать случая, когда мастер-пароли становятся единственным слабым местом.