Variante der Malware Citadel greift Passwortmanager an

Sicherheitsforscher von IBM haben eine neue Variante der Malware Citadel entdeckt, die auf bestimmte – überwiegend quelloffene – Passwortmanager spezialisiert scheint. Sie beginnt damit, alle Tastaureingaben aufzuzeichnen, wenn auf dem infizierten System bestimmte Prozesse laufen. Die Absicht dahinter ist, das Master-Passwort zu stehlen.

Zu den Prozessen, die die Malware aktivieren, zählen die Open-Source-Passwort-Manager Password Safe und KeePass. Aber auch der Nexus Personal Security Client ist darunter, der etwa der Absicherung von Finanztransaktionen dient. Im Forum zu KeePass bei Sourceforge haben bereits Diskussionen begonnen, welche Auswirkungen dies hat und welche Gegenmaßnahmen ergriffen werden können.

Aufgrund der zahlreichen Veröffentlichungen gestohlener Passwort-Hashes in den letzten Monaten sind Passwort-Manager zunehmend beliebt, ermöglichen sie doch komplexe – also sichere – Passwörter, die man sich nicht merken muss. Der Anwender benötigt nur das Master-Passwort; der Client ergänzt Log-in-Daten auf Websites.

IBM gibt an, die Citadel-Variante auf einem mit IBM Trusteer geschützten System gefunden zu haben. Dieses Programm stammt aus einer Übernahme, nämlich der israelischen Firma Trusteer, die im September 2013 für eine Milliarde Dollar zu IBM kam. Die Sicherheitsspezialisten wissen derzeit noch nicht, wie die Malware eingeschleust wurde und ob es sich um einen gezielten Angriff oder eine zufällige Infektion handelt.

Die Auswirkungen eines Master-Passwort-Klaus schildert Trusteer-Direktor Dana Tamir in einem IBM-Blog: „Passwortverwaltungen und Authentifizierungsprogramme sind wichtige Lösungen, um sicheren Zugriff auf Anwendungen und Webdienste zu ermöglichen. Wenn es einem Feind gelingt, das Master-Passwort zu stehlen und Zugriff auf die Passwortliste einer solchen Verwaltungslösung zu erhalten oder Authentifizierungstechnik zu kompromittieren, kann er uneingeschränkten Zugriff auf vertrauliche Daten und Systeme erhalten.“

Der Trojaner Citadel ist eine bekannte Malware, die schon Millionen Rechner befallen hat. Gelingt ihr eine Infektion, erhält sie eine Konfigurationsdatei mit Anweisungen. IBM Trusteer merkt an, dass sie viele Ausweichmanöver beherrscht und Gefahrenerkennungssysteme umgehen kann.

Im September war eine Variante des Schadprogramms für einen Angriff auf erdölverarbeitende Firmen im Nahen Osten genutzt worden. Auch in diesem Fall war es Trusteer, das den Angriff entdeckte. Zudem wurde eine Verbindung zwischen Citadel und dem schwerwiegenden Sicherheitsvorfall bei der US-Handelskette Target im vergangenen Jahr gefunden: Die Malware fand sich auf den Systemen eines Partners von Target.

2013 gelang es Finanzdienstleistern, Microsoft und der US-Bundespolizei, gemeinsam gegen das Citadel-Botnetz vorzugehen und nach ihren Angaben mehr als 90 Prozent der Kommandoserver lahmzulegen. Mit ihnen soll eine halbe Milliarde Dollar ergaunert worden sein. Die Maßnahme stieß allerdings auf Kritik, weil unter 4000 abgeschalteten Domains auch rund 1000 waren, die andere Forscher auf eigene, saubere Server umleiteten, um einen Komplettausfall infizierter Clients zu verhindern.

[mit Material von John Fontana, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

13 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

18 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

18 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

19 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

19 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

21 Stunden ago