Prevalência do Trojan em Países Europeus
Neste contexto, uma pesquisa da McAfee revelou que alguns grupos criminosos cibernéticos tiveram a idéia inovadora de utilizar Citadel de outras maneiras diferentes do que foi originalmente destinado. O cavalo de tróia Citadel é atualmente mais prevalente em países europeus, bem como o número de infecções ocasionadas por ele é bastante reduzido - cerca de 1.000.
Os pesquisadores estimam que cerca de 300 amostras diferentes do trojan estão atualmente ativos em seu "estado selvagem", e que pode ser encontrado principalmente em computadores dentro de entidades comerciais ou organizações governamentais. Variantes de Citadel podem aplicar golpes nas vítimas em um único país e, em alguns casos, em uma única cidade.
Esses mesmos pesquisadores também observaram uma campanha espanhola, que usou uma única variante do Citadel para atingir a cidade de Madrid. O malware foi distribuído a menos de uma dúzia de vítimas. Além disso, nenhuma amostra anterior ou posterior foi relacionada a esta campanha, e assim, os pesquisadores consideram este incidente um caso isolado, e ainda ressaltam que os alvos foram selecionados por razões desconhecidas. Este caso nos ajuda a ver que Citadel está sendo usado para outros interesses, que não se limitam aos crimes financeiros.
Fraudes Financeiras e Outras Segmentações
Outra forte indicação de que Citadel está sendo usado para outros fins, que não sejam a prática de fraude financeira é que algumas campanhas envolvendo alvos do governo não possuem um arquivo de configuração de malware com metas bancárias. Os profissionais da McAfee também disseram que Citadel tem características que vão além da segmentação de clientes de instituições financeiras. A sua versão 1.3.45, o "Extreme Edition", contém funcionalidades que permitem uma computação de rede simplificada (controle remoto) com a vítima. Em outras palavras, o cavalo de tróia vai estabelecer (automaticamente se necessário), no painel de controle de um canal oculto uma comunicação com o PC da vítima.
Em dúzias de campanhas descobertas desde outubro passado, Citadel parece ser usado para a colheita de credenciais de aplicações internas, aplicações do sistema bancário, sistemas de produção, e assim por diante, bem como para realizar um exfiltrating de outros dados. Os ataques, por enquanto, concentram-se em escritórios do governo na Polônia, prefeituras japonesas e entidades comerciais na Dinamarca e na Suécia. Em face disso, os pesquisadores da McAfee acreditam que todos eles têm sido perpetrados por um grupo que chamaram de "Poetry Group" por conta do "texto poético" se incluir nos binários maliciosos. Os versos são de Shakespeare, e muitas vezes fazem alusão às metas, fazendo os pesquisadores especular que os atacantes sejam de origem inglesa.
Análise de Campanhas de Malware
Além disso, as várias campanhas analisadas têm outras coisas em comum: URLs comuns para zonas de lançamento, single strings que aparecem na memória do processo malicioso, e as metas (entidades governamentais nos países nórdicos). Geralmente, servidores de controle para as campanhas são mais hospedados nos Estados Unidos.
"Depois de uma análise envolvendo 300 amostras únicas do Citadel, podemos concluir que as strings não são geradas por uma ferramenta comum, ou eles não incluíram-nas no Citadel por padrão; há a suspeita de que o "Poetry Group" pode ser um subproduto para contratar uma operação de coleta de dados para uma clientela privada, e sua ferramenta de escolha é o cavalo de tróia em questão, concluiu Ryan Sherstobitoff, pesquisador de ameaças da McAfee Labs.
Saiba Mais:
[1] Inside the World of Citadel Trojan http://www.mcafee.com/us/resources/w...del-trojan.pdf