Durante los últimos meses, el malware «bancario» Zeus y sus variantes han saltado a los titulares. Una de estas variantes, el troyano Citadel, ha cobrado protagonismo al conocerse su retirada del mercado abierto de software delictivo o crimeware. Sin embargo, esta desaparición no significa necesariamente que Citadel deje de ser una importante amenaza mundial. Las investigaciones de McAfee Labs indican que los desarrolladores originales de Citadel, y quizá otras personas, están creando nuevas variantes que ampliarán notablemente sus funciones y su perfil de amenazas.
Las principales tendencias observadas en la segunda mitad de 2012 y principios de 2013 incluyen:
- Ataques selectivos a empresas públicas y privadas, principalmente europea.
- Mejoras funcionales utilizadas para robar información y dinero
- Reducción de los objetivos a unos cuantos cientos frente a los miles registrados en los usos anteriores de la familia de malware Zeus
- Recopilación de credenciales de aplicaciones internas, aplicaciones de sistemas bancarios, sistemas de fabricación, etc., que podrían utilizarse más adelante en ataques contra estas mismas aplicaciones
- Aparición del «Poetry Group» (Grupo de poesía) como responsable principal de los ataques basados en Citadel.
Ampliaciones funcionales
La plataforma del malware Zeus se diseñó originariamente para robar dinero a miles de víctimas, con frecuencia en pequeñas cantidades. No obstante, los desarrolladores de Citadel han reconocido sin rodeos que los datos, en especial los de credenciales de autenticación, pueden ser a veces más valiosos que el dinero. Como consecuencia, en la segunda mitad de 2012 empezaron a surgir variantes de Citadel diseñadas para penetrar en la infraestructura de TI de gobiernos locales y grandes empresas privadas.
El Poetry Group, que se distingue por introducir fragmentos de poemas en inglés antiguo en sus variantes de Citadel, ha sido especialmente enérgico en sus ataques a grandes empresas privadas.
Los ataques contra objetivos del sector público han sido particularmente señalados en Polonia, donde los delincuentes han utilizado Citadel para infiltrarse en los repositorios de datos de los gobiernos locales y municipales. Los investigadores de McAfee Labs también han descubierto en Citadel nuevas funciones de fraude financiero, escritas enteramente en JavaScript, que se manifiestan ante empleados específicos de las agencias del sector público elegidas como blanco de los ataques.
Las variantes de Citadel desarrolladas recientemente tienen ahora características que trascienden el mero fraude bancario. El malware puede captar cualquier tipo de información del PC de la víctima.
La versión 1.3.45, la «Extreme Edition», contiene funciones que permiten controlar a distancia el ordenador de la víctima con más facilidad. En otras palabras, desde el panel de control, el troyano establece (automáticamente, si es necesario) un canal oculto de comunicación con el PC. La versión 1.3.45 también incluye una función que establece automáticamente una conexión remota con las redes de bots que están en línea, lo que posibilita los ataques de secuencias de comandos contra distintos objetivos. Además, las últimas variantes de Citadel detectadas incorporan funciones de redireccionamiento de DNS que impiden que los sistemas infectados entren en contacto con los sitios web de los principales proveedores de seguridad informática y de los distintos servicios policiales.
Reducción del volumen de objetivos
Para tener éxito, la gran mayoría de los ataques globales de malware dependen de la «ley de los grandes números». La teoría básica es que, si atacas a un número adecuado de objetivos, al final encuentras suficientes víctimas vulnerables para extraer dinero o información de interés. El planteamiento de los últimos ataques de Citadel es el contrario.
En un ataque observado entre el 22 de diciembre de 2012 y el 6 de enero de 2013, la telemetría de McAfee Labs identificó un total de 156 víctimas en solo cuatro países: Polonia, Dinamarca, Suecia y España.
Poetry Group
El grupo que ha perpetrado más ataques basados en Citadel se conoce como el Poetry Group. Este grupo integra cadenas de texto escritas con un toque poético en inglés antiguo en los archivos binarios de Citadel que se emplean en los ataques. Es una función sistemáticamente presente en los archivos binarios y contiene párrafos de texto que aparecen en la memoria cuando se ejecuta el proceso malicioso, algo que no se ha observado en otras campañas europeas y que induce a pensar que hay un grupo específico detrás de esta. Cuando una de las variantes utilizadas en una campaña activa hace mención concreta de Dinamarca, significa que Dinamarca es uno de los países a los que se dirige el ataque.
Conclusión
Citadel está considerado como una nueva amenaza, no solo para el sector de los servicios financieros, sino también para otros sectores. Permite a los ciberdelincuentes establecer conexiones remotas avanzadas y también decidir sus objetivos sobre la marcha.
Aunque Citadel se está retirando del mercado abierto, McAfee Labs cree que se desplegarán más variantes a lo largo de 2013. También cabe esperar que crezcan sus objetivos, en cuanto un mayor número de ciberdelincuentes se percate de que sus posibilidades trascienden con holgura la estafa financiera. La importante actividad detectada en los últimos tiempos indica que los delincuentes no van a dejar de recurrir a Citadel para atacar a empresas y organismos gubernamentales del mundo entero.
