Criminelen gebruiken de Citadel Trojan om medewerkers van een grote internationale luchthaven aan te vallen die via VPN verbinding maken. Dat ontdekte beveiligingsbedrijf Trusteer. Virtual private networks (VPNs) worden vaak gebruikt om een veilige verbinding tussen het bedrijfsnetwerk en de computer van de werknemer op te zetten. In het geval van de recent ontdekte aanval verstopt Citadel zich in de browser en voert daar een 'man in the browser' uit, waarbij de inloggegevens voor het VPN worden buitgemaakt.

Naast het stelen van inloggegevens maakt de malware ook screenshots en wordt de eenmalige passcode van een niet nader genoemde authenticatieleverancier onderschept. Bij het eerste deel van de aanval steelt Citadel de gebruikersnaam en wachtwoord dat de gebruiker invoert. Vervolgens maakt de malware een screenshot van de afbeelding die het authenticatieproduct toont.

Authenticatie
Deze authenticatieoplossing biedt twee opties voor het authenticeren van gebruikers. Bij de 'dual channel mode' wordt een eenmalige pincode via sms of mobiele applicatie verstuurd. De 'single channel mode' wordt geactiveerd als de gebruiker voor de afbeelding-optie tijdens het inloggen kiest.

De authenticatieoplossing genereert vervolgens een on-screen CAPTCHA van tien cijfers. De gebruiker koppelt zijn originele statische wachtwoord aan de cijferreeks in de afbeelding om zo de eenmalige code te produceren.

Door het maken van screenshots en het onderscheppen van de eenmalige code kan de aanvaller vervolgens het statische wachtwoord herleiden. Dit wachtwoord zou niet door de malware zijn te onderscheppen, maar is op deze manier toch te compromitteren. Met de gestolen gegevens heeft de aanvaller vervolgens toegang tot verschillende luchthavenapplicaties.