Troyano Citadel desarrolla nuevas variantes y ataca operaciones bancarias

Es variante del malware bancario Zeus. Pese a  su retiro del mercado abierto de software delictivo o cibercrimen, todo hace indicar que Citadel sigue atacando de forma renovada a las operaciones bancarias en todo el mundo; este  virus se instala en los dispositivos conectados a Internet e infecta el sistema atacando principalmente las operaciones bancarias que se realicen desde el dispositivo afectado.

Las investigaciones de McAfee Labs indican que los desarrolladores originales de Citadel, y quizá otras personas, están creando nuevas variantes que ampliarán notablemente sus funciones y su perfil de amenazas. Según el estudio, las principales tendencias observadas en la segunda mitad de 2012 y principios de 2013 incluyen:

•    Ataques selectivos a empresas públicas y privadas, principalmente europeas.
•    Mejoras funcionales utilizadas para robar información y dinero.
•    Reducción de los objetivos a unos cuantos cientos frente a los miles registrados en los usos anteriores de la familia de malware Zeus.
•    Recopilación de credenciales de aplicaciones internas, aplicaciones de sistemas bancarios, sistemas de fabricación, etc., que podrían utilizarse más adelante en ataques contra estas mismas aplicaciones.
•    Aparición del "Poetry Group" (Grupo de poesía) como responsable principal de los ataques basados en Citadel.

Ingreso controlado

A diferencia de la mayoría de los ataques de malware proveniente de Zeus, uno de los troyanos bancarios más antiguos y populares en línea, las últimas variantes de Citadel han asaltado un área geográfica sorprendentemente pequeña, más de un 90 % de los objetivos conocidos se han localizado en Europa.

Otro dato importante recogido en la investigación de McAfee Labs es que el foco de los ataques no se dirige a los consumidores en general, sino que sus objetivos son empresas y organismos gubernamentales.

Nuevas funcionalidades

Si bien en un principio la plataforma del malware Zeus se diseñó para robar dinero a miles de víctimas, con frecuencia en pequeñas cantidades, ahora, los desarrolladores de Citadel han reconocido que los datos, en especial los de credenciales de autenticación, pueden ser a veces más valiosos que el dinero. Como consecuencia, en la segunda mitad de 2012 empezaron a surgir variantes de Citadel diseñadas para penetrar en la infraestructura de TI de gobiernos locales y grandes empresas privadas.

Particularmente en los ataques contra objetivos del sector público, los delincuentes han utilizado Citadel para infiltrarse en los repositorios de datos de los gobiernos locales y municipales. Los investigadores de McAfee Labs también han descubierto en Citadel nuevas funciones de fraude financiero, escritas enteramente en JavaScript, que se manifiestan ante empleados específicos de las agencias del sector público elegidas como blanco de los ataques.

Por otra parte las variantes de Citadel desarrolladas recientemente tienen ahora características que trascienden el mero fraude bancario. El malware puede captar cualquier tipo de información del PC de la víctima. Esta versión 1.3.45, denominada "Extreme Edition", contiene funciones que permiten controlar a distancia el ordenador de la víctima con más facilidad. En otras palabras, desde el panel de control, el troyano establece un canal oculto de comunicación con el PC.

La versión 1.3.45 también incluye un mecanismo que establece automáticamente una conexión remota con las redes de bots que están en línea, lo que posibilita los ataques de secuencias de comandos contra distintos objetivos. Además, las últimas variantes de Citadel detectadas incorporan funciones de redireccionamiento de DNS que impiden que los sistemas infectados entren en contacto con los sitios web de los principales proveedores de seguridad informática y de los distintos servicios policiales.

Modo de ataque

El grupo que ha perpetrado más ataques basados en Citadel se conoce como el Poetry Group. Este grupo integra cadenas de texto escritas con un toque poético en inglés antiguo en los archivos binarios de Citadel que se emplean en los ataques.

Ésta es una función sistemáticamente presente en los archivos binarios y contiene párrafos de texto que aparecen en la memoria cuando se ejecuta el proceso malicioso, algo que no se ha observado en otras campañas europeas y que induce a pensar que hay un grupo específico detrás de ésta.

Recomendación experta

Si bien ésta es una amenaza global, aún no ha ingresado con fuerza al mercado Latinoamericano; sin embargo, es necesario tener presentes algunas consideraciones importantes recogidas en esta investigación:

•    Citadel está considerado como una nueva amenaza, no sólo para el sector de los servicios financieros, sino también para otros sectores. Permite a los ciberdelincuentes establecer conexiones remotas avanzadas y también decidir sus objetivos sobre la marcha.
•    Aunque Citadel se está retirando del mercado abierto, McAfee Labs cree que se desplegarán más variantes a lo largo de 2013.
•    Cabe esperar que crezcan sus objetivos, en cuanto un mayor número de ciberdelincuentes se percate de que sus posibilidades trascienden con holgura la estafa financiera.
•    La importante actividad detectada en los últimos tiempos indica que los delincuentes no van a dejar de recurrir a Citadel para atacar a empresas y organismos gubernamentales del mundo entero.
•    Es indispensable mantenerse protegido utilizando una suite de seguridad que haga frente a las amenazas en línea y cuente con bloqueo spam y de correo electrónico peligroso.

Puede encontrar el informe completo en www.mcafee.com/us/resources/white-papers/wp-citadel-trojan.pdf.

FUENTE: CITADEL

----------------------------------
ENLÍNEAPUNTOCOM  es un programa que se trasmite por RPP Noticias los sábados desde las 5:00 pm y los domingos a partir de las 10:00 pm con la conducción de Julio Santos, José Fuertes y la colaboración de Mario Chilo.