• Trojan Citadel e Ataques Man-in-the-Browser

    Publicado em 14-08-2012 09:43
    0 Comentários Comentários
    Os especialistas em segurança da Trusteer, descobriram recentemente a realização de um sofisticado ataque Man-in-the-Browser(MITB), que tem como alvo usuários de VPN em um importante aeroporto internacional. Usando o Trojan Citadel, os cibercriminosos estão monitorando os funcionários com a intenção de roubar suas credenciais para acessar aplicações internas do aeroporto. Por causa disso, a Trusteer notificou os funcionários do aeroporto e as agências governamentais relevantes sobre a ocorrência e a gravidade desse ataque. Devido à natureza sensível desses sistemas, o aeroporto imediatamente desativou o acesso remoto de funcionários através do site, portanto, o site encontra-se inoperante.

    VPNs são frequentemente utilizados, para proteger as conexões de Internet entre a rede privada de uma empresa e um funcionário remoto. Eles fornecem aos usuários o acesso remoto seguro à aplicações e dados que estão contidos dentro do firewall de uma empresa. No entanto, quando um atacante rouba credenciais de uma vítima, ele pode fazer login como usuário autorizado e ter acesso irrestrito à informação e recursos associados à conta visada.




    Trojan Citadel esteve em atividade, dessa vez para tentar roubar credenciais de funcionários de um aeroporto


    Este tipo de ataque usa uma combinação de tecnologias, de forma que consiga realizar uma captura de tela para roubar o nome de usuário e a senha de sua potencial vítima. A primeira parte do ataque é menos complexa, porque usa uma forma tradicional para roubar as informações, através dos dados digitados na tela de login. A segunda parte do ataque depende dos recursos de captura de tela; é preciso haver condições de tirar um snapshot da imagem apresentada à vítima (utilizando um método forte de autenticação).

    O método forte de autenticação oferece duas opções: "single channel" e "dual channel".
    O modo "dual channel" envia aos usuários uma senha única, envio esse que é feito via SMS ou um aplicativo móvel. O modo "single channel" é ativado quando o usuário selecionar a opção "Get Image" ao efetuar login. Isso faz com que o método de autenticação forte gere um CAPTCHA de 10 dígitos na tela do usuário. A partir dessa etapa, o usuário mapeia sua senha (estática) original para a seqüência de dígitos que consta na imagem, a fim de produzir o "one time code". Esta medida de segurança, impede que o "form grabber" consiga capturar a senha real; através da captura de imagem, o invasor usa a permutação de dígitos, juntamente com o "one time code" roubado pelo "form grabber", com o intuito de reproduzir a senha estática.

    O trojan Citadel presente neste ataque, é normalmente usado para executar transações bancárias on-line e outras formas de fraudes financeiras. No entanto, esta não é a primeira vez que a Trusteer identifica e relata para as empresas que elas estão sendo alvo de screen-capturing/form grabbing, desencadeado por um cavalo de tróia bancário. Este ataque provoca uma enorme preocupação, devido ao potencial impacto que ele causa sobre a segurança relacionada ao setor aéreo, incluindo viagens e/ou controle de fronteiras.


    Saiba Mais:

    [1] Help Net Security http://www.net-security.org/malware_news.php?id=2220
    + Enviar Comentário