Variante der Malware Citadel greift Passwortmanager an

Sicherheitsforscher von IBM haben eine neue Variante der Malware Citadel entdeckt, die auf bestimmte – überwiegend quelloffene – Passwortmanager spezialisiert scheint. Sie beginnt damit, alle Tastaureingaben aufzuzeichnen, wenn auf dem infizierten System bestimmte Prozesse laufen. Die Absicht dahinter ist, das Master-Passwort zu stehlen.

Zu den Prozessen, die die Malware aktivieren, zählen die Open-Source-Passwort-Manager Password Safe und KeePass. Aber auch der Nexus Personal Security Client ist darunter, der etwa der Absicherung von Finanztransaktionen dient. Im Forum zu KeePass bei Sourceforge haben bereits Diskussionen begonnen, welche Auswirkungen dies hat und welche Gegenmaßnahmen ergriffen werden können.

Aufgrund der zahlreichen Veröffentlichungen gestohlener Passwort-Hashes in den letzten Monaten sind Passwort-Manager zunehmend beliebt, ermöglichen sie doch komplexe – also sichere – Passwörter, die man sich nicht merken muss. Der Anwender benötigt nur das Master-Passwort; der Client ergänzt Log-in-Daten auf Websites.

IBM gibt an, die Citadel-Variante auf einem mit IBM Trusteer geschützten System gefunden zu haben. Dieses Programm stammt aus einer Übernahme, nämlich der israelischen Firma Trusteer, die im September 2013 für eine Milliarde Dollar zu IBM kam. Die Sicherheitsspezialisten wissen derzeit noch nicht, wie die Malware eingeschleust wurde und ob es sich um einen gezielten Angriff oder eine zufällige Infektion handelt.

Die Auswirkungen eines Master-Passwort-Klaus schildert Trusteer-Direktor Dana Tamir in einem IBM-Blog: „Passwortverwaltungen und Authentifizierungsprogramme sind wichtige Lösungen, um sicheren Zugriff auf Anwendungen und Webdienste zu ermöglichen. Wenn es einem Feind gelingt, das Master-Passwort zu stehlen und Zugriff auf die Passwortliste einer solchen Verwaltungslösung zu erhalten oder Authentifizierungstechnik zu kompromittieren, kann er uneingeschränkten Zugriff auf vertrauliche Daten und Systeme erhalten.“

Der Trojaner Citadel ist eine bekannte Malware, die schon Millionen Rechner befallen hat. Gelingt ihr eine Infektion, erhält sie eine Konfigurationsdatei mit Anweisungen. IBM Trusteer merkt an, dass sie viele Ausweichmanöver beherrscht und Gefahrenerkennungssysteme umgehen kann.

Im September war eine Variante des Schadprogramms für einen Angriff auf erdölverarbeitende Firmen im Nahen Osten genutzt worden. Auch in diesem Fall war es Trusteer, das den Angriff entdeckte. Zudem wurde eine Verbindung zwischen Citadel und dem schwerwiegenden Sicherheitsvorfall bei der US-Handelskette Target im vergangenen Jahr gefunden: Die Malware fand sich auf den Systemen eines Partners von Target.

2013 gelang es Finanzdienstleistern, Microsoft und der US-Bundespolizei, gemeinsam gegen das Citadel-Botnetz vorzugehen und nach ihren Angaben mehr als 90 Prozent der Kommandoserver lahmzulegen. Mit ihnen soll eine halbe Milliarde Dollar ergaunert worden sein. Die Maßnahme stieß allerdings auf Kritik, weil unter 4000 abgeschalteten Domains auch rund 1000 waren, die andere Forscher auf eigene, saubere Server umleiteten, um einen Komplettausfall infizierter Clients zu verhindern.

[mit Material von John Fontana, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de