Variante der Malware Citadel greift Passwortmanager an

Sicherheitsforscher von IBM haben eine neue Variante der Malware Citadel entdeckt, die auf bestimmte – überwiegend quelloffene – Passwortmanager spezialisiert scheint. Sie beginnt damit, alle Tastaureingaben aufzuzeichnen, wenn auf dem infizierten System bestimmte Prozesse laufen. Die Absicht dahinter ist, das Master-Passwort zu stehlen.

Zu den Prozessen, die die Malware aktivieren, zählen die Open-Source-Passwort-Manager Password Safe und KeePass. Aber auch der Nexus Personal Security Client ist darunter, der etwa der Absicherung von Finanztransaktionen dient. Im Forum zu KeePass bei Sourceforge haben bereits Diskussionen begonnen, welche Auswirkungen dies hat und welche Gegenmaßnahmen ergriffen werden können.

Aufgrund der zahlreichen Veröffentlichungen gestohlener Passwort-Hashes in den letzten Monaten sind Passwort-Manager zunehmend beliebt, ermöglichen sie doch komplexe – also sichere – Passwörter, die man sich nicht merken muss. Der Anwender benötigt nur das Master-Passwort; der Client ergänzt Log-in-Daten auf Websites.

IBM gibt an, die Citadel-Variante auf einem mit IBM Trusteer geschützten System gefunden zu haben. Dieses Programm stammt aus einer Übernahme, nämlich der israelischen Firma Trusteer, die im September 2013 für eine Milliarde Dollar zu IBM kam. Die Sicherheitsspezialisten wissen derzeit noch nicht, wie die Malware eingeschleust wurde und ob es sich um einen gezielten Angriff oder eine zufällige Infektion handelt.

Die Auswirkungen eines Master-Passwort-Klaus schildert Trusteer-Direktor Dana Tamir in einem IBM-Blog: „Passwortverwaltungen und Authentifizierungsprogramme sind wichtige Lösungen, um sicheren Zugriff auf Anwendungen und Webdienste zu ermöglichen. Wenn es einem Feind gelingt, das Master-Passwort zu stehlen und Zugriff auf die Passwortliste einer solchen Verwaltungslösung zu erhalten oder Authentifizierungstechnik zu kompromittieren, kann er uneingeschränkten Zugriff auf vertrauliche Daten und Systeme erhalten.“

Der Trojaner Citadel ist eine bekannte Malware, die schon Millionen Rechner befallen hat. Gelingt ihr eine Infektion, erhält sie eine Konfigurationsdatei mit Anweisungen. IBM Trusteer merkt an, dass sie viele Ausweichmanöver beherrscht und Gefahrenerkennungssysteme umgehen kann.

Im September war eine Variante des Schadprogramms für einen Angriff auf erdölverarbeitende Firmen im Nahen Osten genutzt worden. Auch in diesem Fall war es Trusteer, das den Angriff entdeckte. Zudem wurde eine Verbindung zwischen Citadel und dem schwerwiegenden Sicherheitsvorfall bei der US-Handelskette Target im vergangenen Jahr gefunden: Die Malware fand sich auf den Systemen eines Partners von Target.

2013 gelang es Finanzdienstleistern, Microsoft und der US-Bundespolizei, gemeinsam gegen das Citadel-Botnetz vorzugehen und nach ihren Angaben mehr als 90 Prozent der Kommandoserver lahmzulegen. Mit ihnen soll eine halbe Milliarde Dollar ergaunert worden sein. Die Maßnahme stieß allerdings auf Kritik, weil unter 4000 abgeschalteten Domains auch rund 1000 waren, die andere Forscher auf eigene, saubere Server umleiteten, um einen Komplettausfall infizierter Clients zu verhindern.

[mit Material von John Fontana, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago