Il malware Citadel attacca Password Safe e Keepass

Citadel è un noto malware appartenente alla famiglia di ZeuS, componente maligno studiato per sottrarre informazioni personali (dati per l’accesso a servizi di online banking, numeri di carte di credito insieme con relativi codici di autorizzazione, nomi utente e password, certificati digitali,…) e rubare denaro. È anche molto diffuso perché spesso viene distribuito sfruttando campagne phishing su scala mondiale oppure diffuso attraverso download malevoli su web od attraverso le principali applicazioni peer-to-peer.

I tecnici dei laboratori di Trusteer (IBM) hanno recentemente scoperto una variante di Citadel che contiene codice appositamente sviluppato per sottrarre il database delle password gestito utilizzando programmi come Password Safe e KeePass.

“Password manager” opensource, sia Password Safe che KeePass usano una “master password” – scelta dall’utente – che di fatto viene impiegata per proteggere l’intera raccolta delle credenziali d’accesso dell’utente.
La nuova variante di Citadel integra un keylogger capace di memorizzare la master password e razziare il contenuti dei database dei due programmi inviandolo a soggetti terzi.

Per difendersi, al solito, i consigli sono i seguenti:
– riporre la massima attenzione nell’apertura degli allegati ai messaggi di posta elettronica, anche a quelli che sembrano provenire da contatti conosciuti ma che hanno testi “sospetti” (seppur redatti in italiano)
– verificare che il file non abbia una doppia estensione ed attivare, in Windows, la visualizzazione delle estensioni per i file conosciuti (vedere Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi)
– sottoporre ad un’analisi con VirusTotal tutti i file e gli allegati sospetti
– non dare immediatamente fiducia ai contenuti prelevati attraverso i network peer-to-peer (sotto file all’apparenza legittimi possono frequentemente celarsi pericolosi malware)
– installare sempre tutti gli aggiornamenti per Windows e per le varie applicazioni installate
– servirsi di software antiexploit se si dovessero necessariamente utilizzare software un po´ datati
– aggiornare sempre il browser e riporre particolare cura nel tempestivo aggiornamento di plugin, addon ed estensioni (Flash, Java, Quicktime, Silverlight,…; Navigazione sicura e protezione del browser: controllare, aggiornare e rimuovere i plugin)
– installare ed aggiornare un buon software antivirus che integri almeno una protezione basata sull’analisi comportamentale (oltre all’impiego delle firme virali)