패스워드 매니저의 마스터 패스워드를 탈취하는 변종 Citadel 트로이목마 발견

• IBM Trusteer는 변종 Citadel 트로이목마가 패스워드 관리 어플리케이션을 키로깅하여 사용자 패스워드를 
  탈취한다고 발표
   ※ 전형적인 Citadel 트로이목마는 man-in-the-browser 공격을 사용하여 정상적인 뱅킹 사이트로 가장하여 
      온라인 뱅킹 신용정보 및 금융 정보 탈취
   ※ man-in-the-browser 공격 : 공격자가 감염된 컴퓨터에 트로이 목마를 설치한 후, 사용자간 실시간 웹 
       통신을 변경하는 공격

주요내용

• 마스터 패스워드를 훔쳐가는 변종 Citadel 트로이 목마 발견
  - 온라인 뱅킹 인증정보만 탈취했던 과거 Citadel과는 달리 변종 Citadel 트로이목마는 인증 솔루션인 패스워드
    매니저의 마스터 패스워드를 키로깅하도록 설계하여 사용자 전체 DB를 탈취할 수 있음
  - 변종 Citadel 트로이목마는 높은 보안을 요구하는 금융 거래나 다른 서비스들을 보호하는 기업 인증 솔루션인
    "Nexus Personal Security Client" 및 오픈 소스 패스워드 매니저(Password Safe, KeePass)를 타겟으로 함
• Citadel은 explorer.exe 프로세스에 자신을 삽입하고 API를 후킹, 그리고 중앙 명령 서버로부터 키로깅 기능이 
  있는 configuration 파일을 다운로드
• Citadel 트로이목마는 위협 탐지 시스템 우회 가능, 2011년도부터 전 세계적으로 수백만의 감염 PC 존재

[출처]
1. http://thehackernews.com/2014/11/new-citadel-trojan-targets-your.html
2. http://www.theregister.co.uk/2014/11/21/citadel_trojan_targets_password_managers/
3. http://bgr.com/2014/11/24/new-malware-password-manager/
4. http://www.bankinfosecurity.com/citadel-trojan-tough-for-banks-to-beat-a-5282/op-1