Een nieuwe variant van de Citadel-malware voegt op besmette systemen een gebruiker toe die via de Remote Desktopfunctie van Windows kan inloggen voor het geval de malware zelf van het systeem verwijderd wordt. Dat meldt beveiligingsbedrijf Trusteer, dat onderdeel van IBM is.
Citadel is een banking Trojan, voornamelijk ontwikkeld om geld van online bankrekeningen te stelen. De nu ontdekte variant maakt op de computer een gebruiker genaamd "coresystem" aan en voegt die toe aan de groep van beheerders en Remote Desktopgebruikers. Via Remote Desktop kunnen gebruikers op afstand op de computer inloggen, bijvoorbeeld voor beheer.
Volgens Trusteer creëren de aanvallers op deze manier een "back-up backdoor" voor het geval de malware zelf wordt gedetecteerd en verwijderd. Gebruikers zouden in dit geval misschien denken dat hun systeem weer veilig is, terwijl de aanvallers nog steeds op afstand kunnen inloggen. Daarnaast kan het zijn dat communicatie via Remote Desktop niet meteen bij netwerkbeheerders opvalt.
"Het is duidelijk dat de beheerders van Citadel investeren in de overlevingskansen van hun malwarel". zegt Etay Maor. Hij merkt op dat het gebruik van Remote Desktop of VNC (Virtual Network Connection) niet alleen als back-up wordt gebruikt. Het biedt namelijk ook verschillende andere voordelen voor het plegen van bankfraude. In het geval van grote bedragen die de aanvallers proberen te stelen zou er niet op geautomatiseerde scripts kunnen worden vertrouwd en wordt de transactie handmatig uitgevoerd.
Door de handmatige aanpak kunnen de aanvallers bepaalde beveiligingsmaatregelen van de bank omzeilen, zoals bijvoorbeeld het analyseren van gedrag dat met geautomatiseerde scripts samenhangt. Ook kan de aanvaller een al geopende sessie van de gebruiker met de bank overnemen en via HTML-injectie extra informatie aan het slachtoffer vragen.
Als laatste kijken sommige banken naar de gebruikte computer om te bepalen of er geen fraude in het spel is. In dit geval is de aanval echter afkomstig van de computer van het slachtoffer en niet van de aanvaller zijn computer. Hoe de nieuwe Citadel-variant zich precies verspreidt en of die wijdverbreid is laat Trusteer niet weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.