La nouvelle version du trojan Citadel s’en prend aux gestionnaires de mots de passe sécurisés

2
142

Le marché des gestionnaires de mots de passe sécurisés est en pleine expansion et pour la bonne cause. Malheureusement, les auteurs de malwares l’on aussi bien compris… La nouvelle variante du trojan Citadel s’attaque et met fin à la sécurité de plusieurs outils.

Le programme malveillant Citadel a généralement été utilisé pour voler les informations d’identification bancaire et d’autres informations financières en se faisant lui-même passer pour des sites bancaires légitimes lorsque les victimes utilisent leur navigateur Web, technique également connue sous le nom de l’attaque man-in-the-browser.

Le malware ciblait déjà les informations d’identification des utilisateurs stockés dans les applications de gestion de mot de passe inclus dans les navigateurs Web populaires préalablement ciblés via un password stealer (Mozilla Firefox, Opera, Internet Explorer, Google Chrome, Safari, etc), cependant, les gestionnaires de mots de passe tiers n’étaient généralement pas ciblés par les assaillants… Du moins jusqu’à cette récente découverte.

Les chercheurs de chez IBM Trusteer ont noté que le fichier de configuration du malware avait été modifié pour activer un keylogger lorsque les utilisateurs ouvrent Password Safe ou KeePass, deux gestionnaires de mot de passe open-source populaires et largement utilisés. Le système est conçu pour voler le mot de passe maître” qui protège l’accès à la base de données des mots de passe de l’utilisateur final.

    “Les programmes de gestion de mots de passe et d’authentification sont des solutions importantes qui aident l’accès sécurisé aux applications et services Web“, explique Dana Tamir, directeur de la sécurité de l’entreprise au Trusteer, a écrit sur le blog du renseignement de sécurité d’IBM. Si un adversaire est capable de voler le mot de passe maître et accède à la base de données d’identifiants, l’attaquant peut accéder sans entrave aux systèmes et informations sensibles de la victime.

En outre, la nouvelle variante de Citadel vise également la solution d’authentification d’entreprise  utilisée pour sécuriser les transactions financières et d’autres services qui exigent une sécurité accrue, selon une étude de la société de protection des données IBM Trusteer.

Une fois que le logiciel malveillant a infecté un ordinateur, il attend jusqu’à ce que l’un des processus configuré soit lancé. Le malware se connecte sur un serveur distant et enregistre ensuite les frappes de clavier pouvant contenir les mots de passe maîtres, permettant aux cybercriminels le contrôle complet sur la machine et les victimes dont chaque compte en ligne est protégé par ce gestionnaire de mot de passe.

Le cheval de Troie de Citadel existe depuis 2011 et a déjà compromis des millions d’ordinateurs à travers le monde. Selon les chercheurs en sécurité, Citadel est très évasif et peut contourner les systèmes de détection des menaces.

     La nouvelle variante de Citadel pourrait être une attaque bien orchestrée, où les attaquants essaient de voir quel type d’informations ils peuvent exposer à travers cette nouvelle configuration, ou une attaque plus ciblée dans laquelle les attaquants savent que la cible utilise ces solutions spécifiques,” peut-on lire sur le blog.

En juin de l’année dernière, le géant de la technologie Microsoft ainsi que le FBI avaient a lancé une opération d’envergure contre le botnet Citadel, qui avaient volé plus de 500 millions de dollars dans des comptes bancaires pendant 18 mois. À l’époque, le groupe a affirmé qu’il a perturbé plus de 90% des botnets Citadel.

Les commentaires sont fermés.