Home Seguridad Citadel, el troyano que dejó de ser amenaza exclusiva para bancos

Citadel, el troyano que dejó de ser amenaza exclusiva para bancos

por Rocio Diaz

Se le vive aconsejando a la gente no abrir emails de origen sospechoso, evitar websites desconocidos y/o de dudosa reputación, no confiar ciegamente en adjuntos enviados por correo y evitar las transacciones online en conexiones a internet no del todo seguras. La finalidad de estas recomendaciones es reducir al mínimo posible los ataques por malware, que no son más que virus en distintas presentaciones, con daños que van de lo leve a lo grave. Como suele suceder, a través del tiempo los virus han evolucionado y los de ahora son tan sofisticados que en ocasiones dejan a expertos sorprendidos por el nivel de complejidad del código y la forma en que se replica y hasta se esconde para evitar detección. Ciertamente fue el caso con el virus Flame, considerado el más poderoso en la historia, y con Citadel, un troyano que inicialmente iba dirigido a instituciones bancarias.

Con Citadel se ha dado una serie de situaciones interesantes y que han llamado la atención de expertos en virus y malware. Ryan Sherstobitoff, de McAfee Labs, ha estado dando seguimiento a Citadel y ha realizado un informe ejecutivo donde hace notar que este troyano dejó de ser una amenaza exclusiva para bancos. En vez de eso, se está utilizando, principalmente en países de Europa, para ataques a comercios y entidades gubernamentales con la finalidad de obtener información confidencial.

En términos sencillos se puede describir a Citadel como un keylogger que permitía a cibercriminales capturar contraseñas y otras informaciones que habilitaban el acceso a cuentas bancarias, las cuales procedían a desfalcar. Habiendo debutado a principios de 2012 en foros del bajo mundo del cibercrimen en Europa del Este, donde los toolkits eran vendidos entre 3,000 y 4,000 dólares, Citadel concitó la atención de organismos como el FBI y entidades bancarias entre julio y agosto de ese año. Eventualmente fue retirado del “mercado” y su creador, identificado como “aquabox”, prohibido de participar en foros cibercriminales. Aún así, Citadel sigue haciendo de las suyas, y, según el reporte de McAfee Labs, el blanco parece haber cambiado de bancos a entidades gubernamentales y particulares.

citadel

Proliferación mundial de Citadel (McAfee Labs)

A lo largo de los meses Citadel, como suele suceder con cualquier otro malware, fue evolucionando. En sus últimas versiones era prácticamente indetectable por sistemas antimalware y había introducido un elemento de ingeniería social consistente en un pop-up que obligaba al usuario a reintroducir los datos de su cuenta, cayendo así en el gancho. Asimismo, en agosto 2012 específicamente, lanzó ataques ransomware haciéndose pasar por comunicado del FBI.

Si bien los últimos ataques registrados a enero 2013 se concentran en Europa, no signifca que Citadel ha dejado de ser una amenaza, aún cuando se supone que al no estar disponible libremente se reduzca su incidencia. A continuación algunos puntos resaltados por Ryan Sherstobitoff en su informe ejecutivo para McAfee Labs en base a 300 muestras activas de Citadel:

  • Citadel sigue activo, con la mayoría de sus víctimas concentrada en Europa
  • Inicialmente Citadel era usado para robar dinero; sus últimos usos han sido en ataques dirigidos a instituciones gubernamentales y grupos comerciales, con poco énfasis en particulares
  • Actualmente Citadel puede recolectar cualquier cosa contenida en la PC de la víctima.
  • La versión 1.3.45 de Citadel, conocida como la edición extrema, contiene funcionalidad que permite establecer conexión a control remoto con la víctima a través de botnets
  • Del 22 de diciembre 2012 al 6 de enero 2013 hubo una campaña de ataques usando Citadel que se enfocó en 4 países: Polonia (71 víctimas), Dinamarca (44), Suecia (29) y España (12)
  • Del 25 al 30 de diciembre 2012 hubo otra campaña que se enfocó en Polonia (19), Dinamarca (10) y Suecia (7)
  • En el caso de Polonia los ataques iban dirigidos a instituciones gubernamentales, mientras que en el caso de Dinamarca iban dirigidos a comercios
  • En enero se detectó un ataque a instituciones gubernamentales en Japón, lo que sugiere una expansión de Citadel hacia territorio asiático
  • Los grupos atacantes suelen incluir textos poéticos en sus códigos de ataque
  • En data recolectada del 13 al 22 de enero 2013 se identificaron al menos 16 oficinas gubernamentales japonesas víctimas de Citadel
  • Los ataques en Japón guardan relación con la infraestructura de las campañas de ataques en Polonia