image

Zeus Trojan steelt wachtwoorden Citrix VPN

dinsdag 16 november 2010, 17:32 door Redactie, 4 reacties

De Zeus Trojan die bekend staat om het plunderen van bankrekeningen, heeft het ook op de inloggegevens van Citrix Access Gateways voorzien. Dat meldt beveiligingsbedrijf Trusteer in deze analyse. Zodra de tekst "citrix" in de adresbalk verschijnt, maakt de malware een screenshot. Op deze manier probeert Zeus inloggegevens van Citrix Access Gateway-gebruikers te stelen, een populaire SSL VPN oplossing die bedrijven gebruiken om werknemers via een beveiligde verbinding op het bedrijfsnetwerk te laten inloggen.

Om keyloggers te slim af te zijn, ontwikkelde Citrix een "virtuele keyboard oplossing", dat het fysieke keyboard moet vervangen. In plaats van een wachtwoord in te voeren, worden muisklikken gebruikt. De Zeus Trojan probeert deze beveiligingsmaatregel te omzeilen door screenshots te maken.

Bankrekeningen
"Deze aanvalscode illustreert dat Zeus actief bedrijven aanvalt en dan met name remote access verbindingen naar beveiligde netwerken", zegt Amit Klein van Trusteer. Volgens hem zijn cybercriminelen niet langer tevreden met bankrekeningen, en zoeken ze intellectueel eigendom en gevoelige informatie.

"Gebruikers van VPN-systemen zoals Citrix worden met opzet aangevallen, omdat hun computers niet beheerd worden en eenvoudig met complexe malware als Zeus zijn te infecteren."

Reacties (4)
18-11-2010, 15:33 door Anoniem
Ok, via een screenshot kun je de gebruikersnaam lezen, maar het wachtwoord is tegenwoordig toch bij nagenoeg alle systemen/ applicaties, inclusief CAG, gemaskeerd met sterretjes of bolletjes... Het bezitten van de gebruikersnaam vergemakkelijkt hooguit het brute-forcen, maar daar is toch ook meestal de regel three strikes and you are out...
18-11-2010, 15:52 door Anoniem
Deze methode werkt uiteraard alleen als gebruik wordt gemaakt van het virtual keyboard.
19-11-2010, 16:52 door Anoniem
Een beetje serieuse oplossing gebruikt onetime passwords... Weinig spannends dus.
25-11-2010, 14:40 door Anoniem
Dit is niet eens afhankelijk van de CAG.
het is afhankelijk welk type authenticatie je gebruikt.
Standaard is RSA ook gewoon ondersteund, om er maar 1 te noemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.