Citadel Trojan tem como alvo a indústria de energia no Oriente Médio
Fb-Button
Especialistas da IBM empresas de segurança Trusteer descobriram uma maciçamente distribuídos alvos trojan Citadel médias empresas petroquímicas do Leste.
Pesquisadores da IBM Trusteer descobriram recentemente alvo ataques cibernéticos usam uma variante do popular trojan Citadel em diversas empresas petroquímicas do Oriente Médio. A Citadel Trojan é um malwares desenvolvidos para roubar informações pessoais, incluindo informações bancárias e financeiras, a partir de máquinas infectadas. A Citadel Trojan foi descoberto pela primeira vez em 2012 e é baseado no código-fonte do trojan bancário Zeus . Especialistas em segurança descobriram numerosos Citadel botnet ao longo dos anos usados para executar fraudes em larga escala.
Os especialistas consideram a descoberta como a primeira vez Citadel trojan é utilizado para direcionar as entidades não-financeiras em um alvo de espionagem corporativa .
"Os alvos deste ataque incluem um dos maiores vendedores de produtos petroquímicos no Oriente Médio e um fornecedor regional das matérias-primas petroquímicas. IBM tem trabalhado com os canais apropriados para divulgar responsavelmente essas informações para as empresas visadas. ", Relata um post de blog publicado pela SecurityIntelligence .
A disponibilidade on-line do código fonte Zeus tornou possível uma melhoria significativa do malware Citadel quais funcionalidades são melhoradas por vários autores de malware. As versões mais recentes incluem a gestão de dados e roubo de recursos remoto sofisticado. No caso específico, os atores de ameaças configurado Citadel bots para espionar a atividade dos usuários em determinadas URLs (por exemplo, "http:. // correio alvo da empresa .com "), como o webmail das empresas visadas, e agarrar todas as dados fornecidos no formulário. As informações coletadas através do formulário de grilagem é enviado para o servidor C & C gerido por criminosos virtuais, que podem então entrar no site em nome da vítima, acessar e-mails corporativos e gerenciar sua conta de email.
"Uma vez Citadel é instalado em uma máquina, ele busca um arquivo de configuração de um de seus servidores de comando e controle. O arquivo de configuração instrui Citadel em que sites e aplicações para atingir , quais as informações para roubar e como roubá-lo. De acordo com uma análise do arquivo de configuração usada neste ataque, o malware Citadel foi instruído a procurar o acesso de usuários a determinados endereços URL de sistemas conectados à Internet, como o webmail, das empresas visadas. Uma vez que o navegador acessa uma URL tal, o malware é instruído a pegar todas as informações enviadas pelo usuário. Isto é conhecido como forma de agarrar, ou "HTTP POST" agarrando. Quando o usuário envia informações para o sistema, o navegador da Web gera uma solicitação HTTP POST que envia os dados inseridos para o site. O malware então intercepta os dados POST antes de ser criptografados e enviados para o servidor. ", Continua o post.
Trojan Citadel em empresa de energia
As funções disponíveis com Citadel Trojan e outras famílias de malware incluem:
Keylogging : Gravando o usuário teclas e enviá-los para o atacante.
Screenshot c apturing: Gravar a sessão do navegador, incluindo toda a informação que é exibida para o usuário.
Captura de vídeo: Gravação de um fluxo de vídeo de uma sessão do navegador, incluindo toda a informação que é exibida para o usuário.
Formulário agarrando (HTTP POST grilagem ): Um método usado para adquirir a entrada do usuário a partir de um Web formulário de dados antes de ser enviado para o usuário. HTTP POST grilagem tem várias vantagens em relação a outros métodos de roubo de informação como keylogging e tela de captura. Capturando os dados no formulário, pouco antes de ser enviado para o servidor permite que o invasor para capturar os dados completos, reais inseridos pelo usuário, mesmo se o usuário digitá-lo usando um teclado virtual ou copiado e colado no navegador.
Injeção HTML: Um método usado para injetar o conteúdo HTML em uma página da Web legítimo, a fim de modificá-lo e roubar informações do usuário. Ele é frequentemente usado para exibir avisos de segurança falsos e texto personalizado solicitando informações adicionais durante o login, a conta de navegação e transações financeiras.
Execução remota de instruções de linha de comando: Permite que o operador para coletar dados e alterar as configurações em um ou mais computadores remotos.
Controle remoto da máquina infectada: Permite o controle completo sobre o PC e acesso total à rede corporativa. Normalmente, é feito através de um gráfico , o sistema de compartilhamento de área de trabalho que é usado para controlar remotamente outro computador, tais como ferramentas de computação de rede virtual.
Técnicas avançadas de evasão: Projetado para evitar outros controles de segurança tradicionais antivírus e.
Anti-pesquisa técnicas: Uma variedade de recursos sofisticados projetados para frustrar os investigadores de malware a partir da análise do malware e entender suas operações internas ou métodos de ataque.
As características acima fazem esta categoria de código malicioso muito eficaz para ataques direcionados e no passado muitos grupos APT já explorado este tipo de códigos-fonte.
APTs usar a comprometer suas metas de adoção de malwares similares em campanhas de phishing maliciosos, drive-by download ataques, bebedouro ataques e esquemas de engenharia social, como confirmado pelos especialistas da Trusteer.
"A pesquisa IBM Trusteer descobriram que, em média, 1 em cada 500 máquinas em todo o mundo está infectado com malware APT massivamente distribuída em qualquer ponto no tempo. equipe de serviço da IBM Trusteer relata que descobriram este tipo de malware em praticamente todos os ambientes de cliente em que já trabalhei. "
Vamos fechar o post com um casal interessante de gráficos propostos pela equipe de pesquisa da IBM Trusteer, que mostram a distribuição geográfica das taxas de infecção de malware APT:
-APT-malware por país incluído Citadel trojan
Pierluigi Paganini
( Assuntos de Segurança - trojan Citadel , APT )
Comentários