Pesquisadores da IBM Trusteer identificaram diversos ataques cibernéticos às petroquímicas no Oriente Médio por meio de uma variante do malware Citadel.
É a primeira vez que o recurso é utilizado em empresas fora do setor financeiro em um ataque direcionado tipo APT (ameaça avançada persistente) para acessar dados empresariais, roubar propriedade intelectual ou obter acesso a recursos corporativos, como sistemas de e-mail ou de acesso remoto.
Entre os alvos desse ataque estão um dos maiores vendedores de produtos petroquímicos no Oriente Médio e um fornecedor regional das matérias-primas do setor.
O código malicioso identifica quando endereços URLs conectados à internet são acessados, como webmail, e passa a registrar todas as informações enviadas pelo usuário.
Conhecido como form grabbing, ou “HTTP POST” grabbing, o malware intercepta os dados POST antes de serem criptografados e enviados para o servidor. As informações são encaminhadas para o criminoso que pode, então, acessar o sistema com um usuário confiável.
Descoberto em 2012, o Citadel foi inicialmente projetado para roubar dados bancários ao capturar as teclas digitadas e tirar "screenshots" das vítimas, sendo massivamente distribuído entre usuários de PCs em todo o mundo.