Variante der Malware Citadel greift Passwortmanager an

Sie startet mit der Aufzeichnung aller Tastatureingaben, sobald etwa die Open-Source-Passwort-Manager Password Safe und KeePass aktiv sind. Ziel der Kriminellen ist es, ans Master-Passwort zu gelangen. Auch der für Finanztransaktionen genutzte Nexus Personal Security Client steht auf der Liste der Ziel-Anwendungen.

Sicherheitsforscher von IBM haben eine neue Variante der Malware Citadel entdeckt, die auf bestimmte – überwiegend quelloffene – Passwortmanager spezialisiert scheint. Sie beginnt damit, alle Tastaureingaben aufzuzeichnen, wenn auf dem infizierten System bestimmte Prozesse laufen. Die Absicht dahinter ist, das Master-Passwort zu stehlen.

Cybercrime (Bild: CNET)

Zu den Prozessen, die die Malware aktivieren, zählen die Open-Source-Passwort-Manager Password Safe und KeePass. Aber auch der Nexus Personal Security Client ist darunter, der etwa der Absicherung von Finanztransaktionen dient. Im Forum zu KeePass bei Sourceforge haben bereits Diskussionen begonnen, welche Auswirkungen dies hat und welche Gegenmaßnahmen ergriffen werden können.

Aufgrund der zahlreichen Veröffentlichungen gestohlener Passwort-Hashes in den letzten Monaten sind Passwort-Manager zunehmend beliebt, ermöglichen sie doch komplexe – also sichere – Passwörter, die man sich nicht merken muss. Der Anwender benötigt nur das Master-Passwort; der Client ergänzt Log-in-Daten auf Websites.

IBM gibt an, die Citadel-Variante auf einem mit IBM Trusteer geschützten System gefunden zu haben. Dieses Programm stammt aus einer Übernahme, nämlich der israelischen Firma Trusteer, die im September 2013 für eine Milliarde Dollar zu IBM kam. Die Sicherheitsspezialisten wissen derzeit noch nicht, wie die Malware eingeschleust wurde und ob es sich um einen gezielten Angriff oder eine zufällige Infektion handelt.

Die Auswirkungen eines Master-Passwort-Klaus schildert Trusteer-Direktor Dana Tamir in einem IBM-Blog: „Passwortverwaltungen und Authentifizierungsprogramme sind wichtige Lösungen, um sicheren Zugriff auf Anwendungen und Webdienste zu ermöglichen. Wenn es einem Feind gelingt, das Master-Passwort zu stehlen und Zugriff auf die Passwortliste einer solchen Verwaltungslösung zu erhalten oder Authentifizierungstechnik zu kompromittieren, kann er uneingeschränkten Zugriff auf vertrauliche Daten und Systeme erhalten.“

Der Trojaner Citadel ist eine bekannte Malware, die schon Millionen Rechner befallen hat. Gelingt ihr eine Infektion, erhält sie eine Konfigurationsdatei mit Anweisungen. IBM Trusteer merkt an, dass sie viele Ausweichmanöver beherrscht und Gefahrenerkennungssysteme umgehen kann.

Im September war eine Variante des Schadprogramms für einen Angriff auf erdölverarbeitende Firmen im Nahen Osten genutzt worden. Auch in diesem Fall war es Trusteer, das den Angriff entdeckte. Zudem wurde eine Verbindung zwischen Citadel und dem schwerwiegenden Sicherheitsvorfall bei der US-Handelskette Target im vergangenen Jahr gefunden: Die Malware fand sich auf den Systemen eines Partners von Target.

2013 gelang es Finanzdienstleistern, Microsoft und der US-Bundespolizei, gemeinsam gegen das Citadel-Botnetz vorzugehen und nach ihren Angaben mehr als 90 Prozent der Kommandoserver lahmzulegen. Mit ihnen soll eine halbe Milliarde Dollar ergaunert worden sein. Die Maßnahme stieß allerdings auf Kritik, weil unter 4000 abgeschalteten Domains auch rund 1000 waren, die andere Forscher auf eigene, saubere Server umleiteten, um einen Komplettausfall infizierter Clients zu verhindern.

[mit Material von John Fontana, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Cybercrime, IBM, Malware, Open Source, Software, Trusteer

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Variante der Malware Citadel greift Passwortmanager an

Kommentar hinzufügen
  • Am 28. November 2014 um 11:30 von Klaus G

    Man sollte sich sich immer fragen, ob es eine gute Idee ist, einen Angreifer die Arbeit abzunehmen, die sensiblen Daten mühsam zusammmenzutragen um dann an diesem Ort einen evtl. besseren technischen Schutz zu erreichen. Evtl. ist das Zussammentragen der Daten in einem fremden System aufwändiger als das Knacken einer bekannten Sicherheitssoftware.
    Hier muss man eine sinnvolle Abwägung treffen.
    In anderen Bereichen wird das auch gemacht. Z.B. wird oft bei gepanzerten PKWs die Panzerung nicht auf die Spitze getrieben, weil man es für die Sicherheit auch für wichtig hält, das das Auto nicht als gepanzertesFahrzeug erkennbar ist und so Krimminellen zeigt was ein lohnendes Ziel ist.
    Aus diesem Grund halte ich auch die Anzeigepflicht für Cracker-Angriffe, die die Bundesergeierung will, für gefährlich.
    Wenn ein Angreifer in dieses System reinkommt, kann er bei jedem Angriffversuch auf die IT eines deutsches Unternehmens feststellen, ob sein Versuch entwdecht wurde oder nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *