Una nueva configuración del troyano Citadel que el año pasado afectó a cientos de máquinas y que en el más reciente septiembre se presentaba de nuevo con una variante enfocada exclusivamente a atacar a ciertas compañías petroquímicas norteamericanas, ha sido encontrado una vez más pero ahora trabajando contra la protección de gestores de contraseñas open source, en particular, KeePass y Password Safe. También se ha visto afectado el servicio de autenticación y protección para transacciones financieras, neXus Personal Security Client.
Así lo informan en ArsTechnica y ZDNet quienes dan aviso de la detección por parte de investigadores de IBM Trusteer que enseñan el modus operandi de esta versión del malware Citadel: Al abrir los gestores de contraseñas ya mencionados se activa un keylogger, esto es, otro software malicioso que registra las pulsaciones en el teclado permitiendo al atacante conocer por completo qué escribe el usuario al pararse en el campo de ingreso de su contraseña maestra; Ya con la contraseña, todas las cuentas de servicios conectadas al gestor resultan vulnerables.
Un equipo de IBM y protegido con Trusteer ha sido víctima de la variante, sin embargo, no se ha podido esclarecer su fuente y la forma en la que ha podido infiltrarse. Eso sí, aclaran que probablemente se trata de un ataque de prueba para revisar las facilidades que brindaría este tipo de servicios, junto al de NeXus, así que por ahora no tendría mayores implicaciones a nivel global. Sin embargo, los investigadores sugieren el mantener siempre alertas con protecciones de este tipo pero también con software antimalware que minimice el riesgo, pequeño pero existente, de poner la información personal a la orden de terceros.
En fin, es curioso el nuevo objetivo tomado por Citadel: Gestores de contraseñas open source. Habrá que estar atentos a nuevas noticias y seguir en alerta.
Más información: IBM Security Intelligence