The Citadel Trojan was first introduced for sale to cybercriminals in the Russian-speaking underground in February 2012. The Trojan, which was initially based on the Zeus Trojan’s exposed source code, is already at its second upgrade release, version 1.3.3.0, which was shared with its customer-base on March 15th.
One of the features included in the initial report and communicated by Citadel’s developers in late February related to a Trojan feature the developers have apparently implemented: DNS Redirection.
Per the feature list, the developer claims that unlike other Trojans, Citadel does not modify the “Hosts” file on the infected PC (all too often used for local Pharming), but rather allows the botmaster to block or redirect any URL they wish to prevent the bot from reaching.
Sicherheitsforscher von IBM haben eine neue Version des Citadel-Trojaners ausfindig gemacht. Das neue Schadprogramm hat es offenbar besonders auf die beliebten Passwort-Manager KeyPass undPassword Safe sowie das Finanztransaktionstool neXus Personal Security Client abgesehen.
Citadel wartet im Verborgenen darauf, dass Nutzer eines der Tools starten. Dann wird die Malware aktiv und startet einen Keylogger, der sämtliche Nutzereingaben abfängt. Auf diese Weise gelangt der Trojaner an das Master Passwort und erhält Zugriff auf alle in den Passwort Managern gespeicherten Daten und kann sie an den Kontroll-Server weiterleiten.
Im schlimmsten Falle werden so alle Passwörter eines Nutzers kompromittiert.