Em junho de 2012, Citadel foi removido de um grande mercado comercial clandestino, depois que seu desenvolvedor foi tirado de atividade. Dessa forma, muitos especialistas previram o momento em que o incidente poderia levar à queda do Trojan. Além disso, em junho de 2013, a Microsoft anunciou a interrupção de mais de 1.000 botnets que estavam disseminando o Citadel. No entanto, é claro que muitos cybercriminosos continuaram a usar a ameaça como um componente importante em seus ataques.
Investida Contra Indústrias Petroquímicas
Pesquisadores Trusteer disseram que o objetivo dessa ameaça persistente avançada (APT), que caracteriza o tipo dos ataques contra as organizações do Oriente Médio no setor petroquímico, parece estar ganhando acesso aos dados corporativos, propriedade intelectual e recursos corporativos garantidos. Dentre alguns dos alvos mais interessantes da campanha está um dos maiores fornecedores de produtos petroquímicos no Oriente Médio, e um fornecedor regional das matérias-primas petroquímicas. Essa foi a primeira vez que o recurso passou a ser utilizado em empresas fora do setor financeiro em um ataque direcionado tipo APT.
Conhecido como form grabbing, ou "HTTP POST" grabbing, o malware intercepta os dados POST antes de serem criptografados e enviados para o servidor. As informações são encaminhadas para o criminoso que pode, então, acessar o sistema com um usuário confiável. Descoberto no ano de 2012, o Citadel foi inicialmente projetado para roubar dados bancários ao capturar as teclas digitadas e tirar "screenshots" das vítimas, sendo massivamente distribuído entre usuários de computadores em todo o mundo.
Ao analisar o arquivo de configuração utilizado pelo malware nesses ataques, os pesquisadores determinaram que Citadel é usado por endereços de URL identificados para webmail e outros sistemas dentro das empresas-alvo. Quando uma dessas URLs é acessada pela vítima, o cavalo de Tróia colhe as informações apresentadas para a página da Web em questão.
Citadel e sua Notoriedade Mundial
O malware bancário Zeus e suas variantes já figuraram nas manchetes dos noticiários do mundo inteiro, e uma das variantes, o cavalo de Troia Citadel, ganhou notoriedade com a notícia de sua retirada do mercado
aberto do crimeware. Contudo, essa retirada não significa necessariamente que o Citadel deixará de ser uma ameaça global significativa. De acordo com algumas pesquisas feitas pelo McAfee Labs, foi constatado que os desenvolvedores originais do Citadel, e talvez outros, estejam desenvolvendo novas variantes que estendem
significativamente a funcionalidade e o perfil de ameaça do Citadel.
As principais tendências observadas no segundo semestre de 2012 e no início de 2013 englobam ataques direcionados contra empresas públicas e privadas, principalmente na Europa; aperfeiçoamentos funcionais utilizados para roubar informações, bem como dinheiro; restrição de alvos a algumas centenas, ao invés das dezenas de milhares de alvos observadas em utilizações anteriores da família de malware Zeus; coleta de credenciais de aplicativos internos, aplicativos de sistemas bancários, sistemas de manufatura, dentre outros, que podem ser utilizados em ataques posteriores contra esses aplicativos e surgimento do "Poetry Group" como principal executor de ataques com base no Citadel.
Zeus foi a Porta de Entrada do Citadel
Como já foi citado, o malware Citadel é originário do tão temido trojan bancário ZeuS. De acordo com vários especialistas em segurança da informação, ainda meados de 2013 não havia forma de deter a referida ameaça. Este tipo de malware consegue invadir um computador através da rede social, ficando inativo até a vítima fazer log in no site do seu banco, por exemplo. Bastam estes passos para que Zeus consiga roubar todas as senhas e dinheiro do utilizador. Além disso, foram ainda verificados casos em que a página do banco fica inacessível e o link muda, o que ajuda o vírus a obter ainda mais dados que podem depois ser vendidos.
O Zeus começou a infectar computadores desde julho de 2007, tendo feito milhões de vítimas até ao presente, segundo a especialista Nicole Periroth. Até os sites da Amazon e da NASA já foram afetados pelas atividades dele. A maior parte destes computadores estão localizados nos Estados Unidos, mas também já há registro de ataques no Reino Unido e no Leste da Europa. E, no meio disto tudo, o Facebook continua a ignorar o problema, apesar de várias pessoas já terem alertado a rede social. Desta forma, o Zeus poderá continuar a atacar com a mesma facilidade.
Foco Geográfico
Ao contrário da maioria dos ataques de malware, as variantes recentes do Citadel atingiram um alvo geográfico surpreendentemente pequeno, com mais de 90% dos alvos conhecidos situados na Europa. No entanto, mesmo dentro do cenário europeu, os alvos se concentraram no norte da Europa e na Espanha. Além disso, os dados de telemetria evidenciam que as quadrilhas que utilizam o Citadel não estão visando consumidores em geral. Ao invés disso, os alvos são empresas e órgãos governamentais.
Credenciais de Usuário são Valiosas para os Cybercriminosos
Como é de conhecimento de muitos, a plataforma de malware Zeus foi originalmente desenvolvida para roubar dinheiro, frequentemente em pequenas quantidades, de milhares de vítimas. Contudo, os desenvolvedores do Citadel evidentemente reconheceram que dados, principalmente dados de credenciais de autenticação, podem ser mais valiosos que dinheiro. Consequentemente, no segundo semestre de 2012 foi possível perceber variantes do Citadel desenvolvidas para penetrar infraestruturas de TI de grandes empresas privadas e governos locais.
Poetry Group
O "Poetry Group", que se distingue por causa da incorporação de alguns fragmentos de poesias em inglês arcaico em suas variantes do Citadel, tem atuado ativamente em ataques contra grandes empresas privadas. Os ataques contra alvos do setor público são mais pronunciados na Polônia, onde o Citadel tem sido utilizado para penetrar repositórios de dados de governos municipais e locais. Além disso, os pesquisadores do McAfee Labs também descobriram novas funcionalidades de fraude financeira embutidas no Citadel, escritas inteiramente em JavaScript, que parecem visar funcionários das agências do setor público sob ataque.
Importante ressaltar que esse malware pode ser capaz de coletar qualquer coisa a partir do computador de uma vítima. O Citadel versão 1.3.45, também conhecido como "Extreme Edition", contém uma funcionalidade que possibilita uma conexão de controle remoto simplificado com a vítima. Em outras palavras, o cavalo de Troia estabelece (automaticamente, se necessário), a partir do painel de controle um canal oculto de comunicação com a máquina da vítima. Além do mais, a versão 1.3.45 também tem um recurso que estabelece automaticamente uma conexão remota com redes de bots que estejam on-line, possibilitando criar scripts de ataque contra alvos diferentes.
As variantes do Citadel que foram descobertas mais recentemente, também possuem uma funcionalidade própria de redirecionamento de DNS que impede que os sistemas infectados contactem os sites dos principais fornecedores de segurança de TI e autoridades policiais globais.
Redução na Quantidade de Alvos
A grande maioria dos ataques globais de malware, baseia-se na "lei dos grandes números", para que possa ter êxito. A teoria básica é que, atacando alvos suficientes, você eventualmente encontra um número suficiente de alvos vulneráveis, dos quais pode extrair dinheiro ou informações de interesse. Os ataques recentes desencadeados pelo Citadel seguiram uma abordagem oposta. Em um ataque do Citadel observado entre 22 de dezembro de 2012 e 6 de janeiro de 2013, a telemetria do McAfee Labs identificou um total de 156 vítimas, em apenas quatro países.
Considerações Executivas
O Citadel é considerado uma ameaça emergente não apenas para a indústria de serviços financeiros, mas também para outras indústrias. Além disso, ele proporciona aos cybercriminosos um sistema de conectividade remota avançada, e isso lhes dá a capacidade de decidir dinamicamente qual alvo atacar. Embora o Citadel tenha começado a ser retirado do mercado aberto faz alguns meses, os profissionais do McAfee Labs tinham certeza que variantes sucessoras continuariam a ser distribuídas ao longo de 2013.
Além disso, houve uma previsão de que seus alvos se expandirão conforme mais cybercriminosos perceberem que as capacidades potenciais do Citadel vão muito além da fraude financeira. Isso porque existe uma quantidade significativa de atividades recentes que sugere que os executores continuarão a utilizar o Citadel para atacar empresas e organizações governamentais, de forma global.
Saiba Mais:
[1] Security Week http://www.securityweek.com/citadel-...chemical-firms