Vigyázat! Egy csapásra tudódhat ki az összes jelszava

Egy régóta ismert trójai program új feladatot kapott. Népszerű jelszókezelő alkalmazásokhoz tartozó mester kulcsokat kell megszereznie a terjesztői számára.
 

A Citadel nevű trójai 2012 óta terjed, és az évek során több millió számítógépet fertőzött meg. Az első variánsainak célja az volt, hogy az áldozatukul eső számítógépekről minél több bizalmas adatot szivárogtassanak ki. Elsősorban online banki fiókokhoz tartozó felhasználónevek és jelszavak álltak az adattolvajok érdeklődésének középpontjában.
 
A trójai azonban nem kizárólag azzal hívta fel magára a figyelmet, hogy széles körben lopkodta az adatokat, hanem a módszereivel is. Úgynevezett man-in-the-browser támadásokat hajtott végre, amik során beépült a webböngészőkbe, és bizonyos banki weboldalakat a háttérből manipulált. Aztán idén a kártékony program terjesztői némileg változtattak a korábbi elgondolásaikon, és a károkozót bevetették célzott támadások során, amikkel leginkább gyógyszeripari cégek rendszereit veszélyeztették.
 
Újabb feladatokat kapott a trójai

Úgy tűnik, hogy a Citadel ismét igazolta azt, hogy az évek során semmit sem vesztett a lendületéből, és a felépítésének köszönhetően igencsak sokrétűen használható fel a különböző károkozások során. A Trusteer kutatói ugyanis arra lettek figyelmesek az egyik ügyfél rendszerének vizsgálata során, hogy a Citadel egy új variáns formájában az eddigiektől némileg eltérő viselkedést mutat. Noha továbbra is adatlopásból veszi ki a részét, azonban ezúttal kifejezetten jelszókezelő alkalmazásokat, szolgáltatásokat állít célkeresztbe. A gyakorlatban ez azt jelenti, hogy a billentyűzetfigyelő komponense akkor aktiválódik, amikor az alábbi folyamatok elindulnak:
Personal.exe
PWsafe.exe
KeePass.exe  
A Personal.exe folyamat a neXus Personal Security Client alkalmazáshoz tartozik, amely pénzintézetek, elektronikus kereskedelmi cégek stb. esetében segíti a hitelesítési folyamatokat, és egy kriptográfiai köztesrétegként működik a számítógépek, illetve az online szolgáltatások között. A PWsafe.exe a Password Safe szoftver folyamata. A nyílt forráskódú alkalmazás nagy népszerűségnek örvend, eredetileg a neves biztonsági szakértő, Bruce Schneier tervezte. A KeePass.exe pedig a KeePass program állománya, amely szintén a népszerű jelszókezelő szoftverek táborát gyarapítja. Természetesen ezen alkalmazásokkal nemcsak belépési adatok tárolhatók, hanem űrlapinformációk, bank- és hitelkártyaszámok stb. is, így meglehetősen vonzó célpontot jelentenek az adattolvajok körében. Sőt, most már a Citadel sem kíméli ezeket a szoftvereket.  
Csak egy mesterjelszó kell

A Citadel legújabb variánsa is egy távoli vezérlőszerverről szerzi be azt a konfigurációs állományt, amely alapján elvégzi a nemkívánatos feladatait. Amennyiben észleli a fenti folyamatokat, akkor elkezdi naplózni a billentyűleütéseket. A lementett adatok között nagy valószínűséggel megtalálható lesz az a mesterjelszó is, amely a szóban forgó alkalmazásokhoz teljes körű hozzáférést biztosít. Amennyiben a trójai ezt a jelszót - és a jelszókezelő adatállományát - kiszivárogtatja a terjesztőihez, akkor azok egy csapásra megannyi bizalmas adathoz férhetnek hozzá.
 
Mit tehetünk?

Az IBM 2011-ben azt jósolta, hogy 2016-ban már nem fogunk jelszavakat használni a bizalmas adataink védelméhez. A hitelesítési folyamatokba biometrikus technológiák, ujjlenyomat-olvasók, hangfelismerők vagy akár DNS-alapú megoldások kapcsolódnak be. Most úgy tűnik, hogy azért erre a korszakra némileg többet kell várni, de addig is vannak kockázatcsökkentő lehetőségek. A naprakészen tartott vírusvédelem mellett a Citadel által okozott károk azzal is megelőzhetők, ha többfaktoros azonosítást használunk, azaz a mesterjelszó mellett egyszer használatos kódokkal vagy tokenekkel is védjük az adatokat. Ilyen lehetőségeket egyre több alkalmazás és szolgáltatás biztosít.