Suchen

Banking-Malware attackiert Petrochemie-Unternehmen Citadel-Trojaner laut IBM auf Abwegen

| Redakteur: Stephan Augsten

Petrochemie-Unternehmen im Nahen Osten wurden gezielt attackiert – von einem Trojaner, der eigentlich für Finanzinstitute konzipiert wurde. Mithilfe infizierter E-Mail-Anhänge, Drive-by-Downloads und Social Engineering gelangt der Schadcode in die Netzwerke. Die Motive der Urheber sind laut IBM noch ungeklärt.

Firma zum Thema

Im Brennpunkt: Unternehmen der petrochemischen Industrie werden momentan gezielt mit dem Citadel-Trojaner angegriffen.
Im Brennpunkt: Unternehmen der petrochemischen Industrie werden momentan gezielt mit dem Citadel-Trojaner angegriffen.
(Bild: Archiv)

Ähnlich wie Zeus und Spyeye wurde der Citadel-Trojaner ursprünglich konzipiert, um Online-Konten leerzuräumen. Erste Vertreter der Malware-Familie, die als „Man in the Browser“ interessante Datenpakete abfangen konnten, wurden im Jahr 2012 registriert. Neuere Citadel-Varianten können beispielsweise auch Tastatureingaben abfangen (Keylogging) oder in regelmäßigen Abständen den Bildschirm abfotografieren (Screenshot Capturing).

Im September wurde der Schadcode für gezielte Angriffe auf Petrochemie-Firmen im Nahen Osten genutzt, wie Sicherheitsforscher von IBM Trusteer herausgefunden haben. Es sei besorgniserregend, dass Citadel zum ersten Mal gezielt Unternehmen einer vollkommen anderen Branche angegriffen habe.

Zu den attackierten Firmen zählen laut IBM Trusteer unter anderem einer der größten Petrochemie-Anbieter im Nahen Osten und ein regionaler Zulieferer von Rohmaterialien. Warum der Trojaner auf Mitarbeiter dieser Unternehmen abzielte, lässt sich bislang noch nicht klären.

Möglicherweise wollten die Angreifer sensible Informationen oder geistiges Eigentum entwenden, mutmaßt Dana Tamir, Director Enterprise-Sicherheit bei IBM Trusteer: „Der Fall zeigt, dass bestimmte Malware-Familien mit wenig Aufwand zu fortgeschrittenen Spionage-Tools werden können, um sensible Systeme zu infiltrieren.“

Denkbar ist nämlich auch, dass man sich Zugang zu besser geschützten Bereichen verschaffen wollte. Denn die Malware ist auch dazu in der Lage, die Zugangsdaten zu Mail-Systemen oder Remote-Access-Diensten mittels „http POST“-Grabbing während der Eingabe auszuspionieren. Weitere interessante Sicherheitsvorfälle behandelt auch der IBM-Sicherheitsblog Securityintelligence.com.

(ID:42986202)