Leküzdötte a nyelvi nehézségeket az adatlopó trójai

A Citadel trójai a multinacionális cégek ügyfeleit az eddigieknél alattomosabb módon képes az adataiktól megfosztani. A károkozó több nyelven is megtanult kommunikálni.
 

Június elején a Citadel trójai által kiépített, fertőzött számítógépekből felépülő kártékony hálózatot a hatóságok, különböző szolgáltatók és a Microsoft digitális bűnözés elleni csoportjának segítségével sikerült megbénítani. A több millió PC-t érintő hálózat valójában 100 kisebb kiterjedésű botnetből épült fel, amelyek mindegyikének működésében szerepet kapott a Citadel. Nem sokkal azután, hogy a sikeres akcióról megjelentek az első beszámolók Jason Steer, a FireEye termékmenedzsere jelezte, hogy a károkozó elleni fellépés vélhetőleg nem fogja végérvényesen megakadályozni a trójai terjedését. "Aggodalomra ad okot, hogy több száz vagy akár több ezer Citadel és Zeus variáns terjed, amelyek fenyegetést jelentenek az online banki szolgáltatásokat igénybe vevő felhasználókra. A botnetek mostani felszámolása csak részben csökkenti a kockázatokat" - hangoztatta a szakember. Most már elmondható, hogy az élet őt igazolta, ugyanis a Trusteer biztonsági cég kutatói egy, az eddigieknél fejlettebb Citadel variánsra lettek figyelmesek.

Régiós csalások

Az új Citadel változat néhány képességgel bővült, ugyanakkor elöljáróban meg kell említeni, hogy a végső célja mit sem változott az elmúlt hetekben. Továbbra is adatlopásban kap szerepet, és különösen az internetes banki szolgáltatások valamint az elektronikus kerekdelemmel foglalkozó weboldalak felhasználóinak adatai iránt mutat fokozott érdeklődést. A trójai készítői sajnos ebből a szempontból már komoly tapasztalatokkal rendelkeznek, hiszen a Microsoft szerint eddig legalább másfél milliárd dolláros kárt okoztak világszerte. A kártékony program több mint 90 országban szedte áldozatait, és a jelek szerint a helyzet nem igen javul.

A Citadel leggyakrabban alkalmazott módszerei közé tartozik a billentyűleütések naplózása, amelyek révén jelszavakat, felhasználóneveket és egyéb bizalmas információkat igyekszik gyűjteni valamint kiszivárogtatni a terjesztői számára. Emellett a kártevő fegyvertárában még egy nagyon alattomos módszer is megtalálható. Ez nem más, mint az úgynevezett web (vagy HTML) injection, amelynek során teljesen legális weboldalakba illeszti be a saját kódjait, webes űrlapjait, és megpróbálja rávenni a felhasználót arra, hogy adja meg a kért adatokat. Ilyenkor a károkozó manipulálja a számára érdekes weblapokat, és így a felhasználó egy-egy cég, bank, stb. weboldalának kisebb nagyobb mértékben módosított változatával találkozik. Ahhoz azonban, hogy a csalók számítása bejöjjön, a trójait minden egyes weboldal esetében testre kell szabni.

Lokalizált károkozások

Ahogy azt az imént említettük, a Citadel világszerte szedi áldozatait. Azonban a trójai készítői úgy gondolták, hogy sokkal több bevételre tehetnek szert akkor, ha a nemkívánatos szerzeményüket többnyelvű összetevőkkel ruházzák fel. Emiatt a legújabb variáns már képes arra, hogy a domainek alapján más-más nyelvű üzeneteket, űrlapokat jelenítsen meg. A Trusteer egy Amazont érintő támadást emelt ki, de a célpontok között egyéb kereskedelmi, közösségi és pénzügyi szolgáltatók is szerepelnek.

Az Amazon esetében a csalók azt állítják (a vállalat nevében), hogy a felhasználó fiókjával valaki vissza akart élni, ezért átmenetileg blokkolni kellett. Ahhoz, hogy újra használható legyen a fiók meg kell adni néhány adatot. Ezek között szerepel a név, a cím, a telefonszám és nem utolsó sorban néhány hitelkártya információ is. Amennyiben a felhasználó bedől az üzenetnek, akkor a beírt és az elküldött adatai azonnal az adattolvajok kezébe kerülnek. Az Amazon felhasználóit célkeresztbe állító csalás is többnyelvű. Jelenleg francia, német, olasz és spanyol változatokban jelenhet meg a kompromittált weboldal.

A Trusteer kutatói szerint a mostani Citadel variáns módszerei egy meglehetősen kifinomult technikákat alkalmazó kiberbűnözői csoportot sejtettnek a háttérben. Az adattolvajok nagyobb hasznot húzhatnak a károkozó terjesztéséből, ugyanis olyan régiószintű adatokhoz juthatnak, amelyeket feltételezhetően könnyebben tudnak értékesíteni az internetes feketepiacon.

Annak ellenére, hogy a Citadel jelenleg nem támogatja a magyar nyelvet, nem szabad a babérokon ülni, ugyanis mindez a károkozó moduláris, bővíthető és testreszabható funkciói miatt a közeljövőben bármikor megváltozhat. Ezért érdemes gondoskodni a naprakészen tartott víruskeresőkről. Emellett a banki és egyéb weboldalakon megjelenő furcsa üzenetekkel, adatbekérésekkel nagyon körültekintően kell eljárni.