Nove funkcije podigle cenu Trojanca Citadel na crnom tržištu

Opisi virusa, 19.10.2012, 10:00 AM

Autori koda najnovije verzije Trojanca Citadel, nazvane “Rain Edition” dodali su ovom malveru nove funkcije i tako značajno uvećali njegovu cenu.

Nova verzija Trojanca donosi funkciju nazvanu “Dynamic Config”, koja olakšava bot masterima pristup zaraženim računarima ažuriranjem konfiguracijskog fajla malvera u realnom vremenu. Konfiguracijske fajlovi koriste vlasnici servera za komadnu i kontrolu bot mreže kako bi poslali instrukcije za računar koji je pod njihovom kontrolom.

Mehanizam dinamičke konfiguracije u novoj verziji Trojanca omogućava bot masterima ubacivanje malicioznog sadržaja u kompromitovane brauzere “u letu”. Takva interakcija sa botovima u realnom vremenu ukida potrebu za slanjem i ažuriranjem konfiguracijskog fajla čitavoj bot mreži i umanjuje rizik od otkrivanja zlonamernih aktivnosti.

Prva verzija Trojanca Citadel, koji je u srodstvu sa poznatijim bankarskim Trojancem Zeus, našla se na crnom tržištu u januaru i tada je njegova cena bila 2399 dolara. Nove funkcije podigle su cenu malvera koja sada, za najnovije, šesto izdanje Trojanca Citadel, iznosi čak 3391 dolar, što je za 41% više od njegove početne verzije.

Citadel, zajedno sa ostalim bankarskim Trojancima, najčešće inficira računare putem spama ili tokom drive-by download napada. Bankarski Trojanci kradu podatke za prijavljivanje na naloge kako bi omogućili napadaču transfer novca sa računa žrtve.

Citadel je korišćen u avgustu za hakovanje virtuelne privatne mreže (VPN) neidentifikovnog međunarodnog aerodroma, a tom prilikom malver je uspeo da savlada dvostepenu autentifikaciju koristeći kombinaciju krađe formulara i snimanja ekrana kako bi se neovlašćeno pristupalo nalozima zaposlenih na aerodromu.

Malver je u kombinaciji sa ransomware-om Reveton korišćen za iznudu novca od žrtava kojima se pretilo zbog navode veze sa dečijom pornografijom, a tom prilikom su korišćena i lažna obaveštenja ministarstva pravde SAD kako bi sve izgledalo ubedljivije.

Citadel je, prema podacima firme S21sec, takođe povezan i sa bot mrežom Sopelka, koja se pojavila u maju a ugašena je prošlog meseca. Citadel se zajedno sa još dva bankarska Trojanca, Tatanga i Feodo, koristio za prikupljanje podataka za prijavu na online bankarske naloge, prvenstveno u Španiji i Nemačkoj, ali i u Holandiji, Italiji i Malti. Tokom životnog veka bot mreže pokrenuto je najmanje 5 kampanja za koje se zna, a verovatno ih je bilo i više. U tri kampanje su korišćene dve verzije Trojanca Citadel, dok su u druge dve korišćeni Tatanga i Feodo.

Problem je u tome, kažu stručnjaci, što se bot mreže stalno pojavljuju i gase, tako da i kada vlasti pokušaju da ugase jednu bot mrežu, kriminalci mogu pokrenuti novu kampanju infekcije malverom i formirati novu bot mrežu, tako da ne mogu biti otkriveni.

Nova verzija Trojanca Citadel sa svojom “dynamic config” funkcijom pokazuje da programeri ovog malvera nisu amateri već da je reč o veoma ozbiljnom timu. Oni su sada u mogućnosti da implementiraju promene koje dolaze sa servera za komandu i kontrolu u realnom vremenu, čime je skraćeno vreme koje je obično potrebno progrmerima da promene konfiguracijski fajl. To je zaista veliki pomak, za koji stručnjaci kažu da do sada nikada nije viđen.