Durante los últimos meses, el malware "bancario" Zeus y sus variantes han tomado relevancia; una de estas variantes, el troyano Citadel, ha cobrado protagonismo, ampliando sus funciones y perfil de amenazas, advirtió McAfee.
Las principales tendencias observadas en la segunda mitad de 2012 y principios de 2013 incluyen:
• Ataques selectivos a empresas públicas y privadas, principalmente europeas.
• Mejoras funcionales utilizadas para robar información y dinero.
• Reducción de los objetivos a unos cuantos cientos frente a los miles registrados en los usos anteriores de la familia de malware Zeus.
• Recopilación de credenciales de aplicaciones internas, aplicaciones de sistemas bancarios, sistemas de fabricación, etc., que podrían utilizarse más adelante en ataques contra estas mismas aplicaciones.
• Aparición del "Poetry Group" (Grupo de poesía) como responsable principal de los ataques basados en Citadel.
Foco geográfico
A diferencia de la mayoría de los ataques de malware, las últimas variantes de Citadel han asaltado un área geográfica sorprendentemente pequeña: más de un 90 % de los objetivos conocidos se han localizado en Europa. Sin embargo, incluso dentro del ámbito europeo, los objetivos se han concentrado en el norte de Europa y en España.
Además, según los datos de telemetría de la compañía de seguridad, está claro que las bandas que emplean Citadel no se dirigen a los consumidores en general, sino que sus objetivos son empresas y organismos gubernamentales.
McAfee reconoce que la plataforma del malware Zeus se diseñó originariamente para robar dinero a miles de víctimas, con frecuencia en pequeñas cantidades. No obstante, destaca que los desarrolladores de Citadel han reconocido que los datos, en especial los de credenciales de autenticación, pueden ser a veces más valiosos que el dinero. Como consecuencia, en la segunda mitad de 2012 empezaron a surgir variantes de Citadel diseñadas para penetrar en la infraestructura de TI de gobiernos locales y grandes empresas privadas.
El Poetry Group, que se distingue por introducir fragmentos de poemas en inglés antiguo en sus variantes de Citadel, ha sido especialmente enérgico en sus ataques a grandes empresas privadas. Los ataques contra objetivos del sector público han sido particularmente señalados en Polonia, donde los delincuentes han utilizado Citadel para infiltrarse en los repositorios de datos de los gobiernos locales y municipales.
Los investigadores de McAfee Labs también han descubierto en Citadel nuevas funciones de fraude financiero, escritas enteramente en JavaScript, que se manifiestan ante empleados específicos de las agencias del sector público elegidas como blanco de los ataques.
Las variantes de Citadel desarrolladas recientemente tienen ahora características que trascienden el mero fraude bancario. El malware puede captar cualquier tipo de información del PC de la víctima. La versión 1.3.45, la "Extreme Edition", contiene funciones que permiten controlar a distancia la computadora de la víctima con más facilidad. En otras palabras, desde el panel de control, el troyano establece (automáticamente, si es necesario) un canal oculto de comunicación con la PC. La versión 1.3.45 también incluye una función que establece automáticamente una conexión remota con las redes de bots que están en línea, lo que posibilita los ataques de secuencias de comandos contra distintos objetivos.
Además, las últimas variantes de Citadel detectadas incorporan funciones de redireccionamiento de DNS que impiden que los sistemas infectados entren en contacto con los sitios web de los principales proveedores de seguridad informática y de los distintos servicios policiales.