Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Troyano Citadel utiliza gestores de contraseñas para robar credenciales
Los criminales descubrieron una variante del troyano Citadel enfocada en los gestores de contraseñas.
El malware está diseñado para robar la contraseña maestra de la víctima, desbloqueando su base de datos de contraseñas web en el proceso. El software ejecuta un keylogger para interceptar lo que las personas teclean en los gestores de contraseñas de código libre, Password Safe y KeePass, en computadoras con Windows infectadas.
El software Nexus Personal Security Client, un producto de autenticación utilizado por grandes compañías así como por proveedores de servicios en línea, también es un objetivo.
El análisis técnico completo del malware Citadel se puede consultar aquí (en inglés): funciona inyectándose en el proceso explorer.exe y modifica las llamadas al sistema para hacer uso de ellas, como se puede consultar en este enlace (en inglés). También descarga un archivo de configuración desde un servidor central de comandos.
“(El archivo de configuración) le indica al malware que empiece a capturar las teclas presionadas (keylogging) cuando ciertos procesos están en ejecución”, explica Dana Tamir, directora de seguridad empresarial en IBM Trusteer, en una entrada de blog (en inglés).
No está claro qué tanto se ha extendido la infección por este malware, ni quién es el autor intelectual. Los criminales involucrados suspendieron su servidor de comando y control (C&C) central poco tiempo después de que Trusteer se involucrara en el contagio.
“Una vez que Citadel se instala en una máquina, abre canales de comunicación con un servidor de comando y control (C&C) y se registra. El malware entonces recibe un archivo de configuración que dice cómo debe operar”, explicó Tamir.
“Un análisis del archivo de configuración (utilizado por esta variante de Citadel) muestra que los atacantes estaban empleando un servidor web legítimo con el C&C. Sin embargo, para cuando el laboratorio de investigación de IBM Trusteer recibió el archivo de configuración, los archivos C&C ya habían sido removidos del servidor, por lo que los investigadores no pudieron identificar quién estaba detrás de esta configuración”.
IBM Trusteer ha pasado su investigación a los creadores del software afectado.
