Las nuevas varientes del malware se orientan en robar información y dinero, tanto a las empresas como gobiernos.
Citadel es una nueva amenaza , tanto para las empresas del sector de los servicios financieros, como para otras industrias, y permite a los ciberdelincuentes establecer conexiones remotas avanzadas y decidir sus objetivos sobre la marcha. Es prrobable que existan más variantes en este 2013.
McAfee Labs considera que aunque el malware “desapereció del mercado”, crecerán sus objetivos, al momento en que más ciberdelincuentes se den cuenta de que sus posibilidades trascienden por mucho la estafa financiera. “Los delincuentes no van a dejar de recurrir a Citadel para atacar a empresas y organismos gubernamentales del mundo entero”.
Se debe recordar que Citadel es una varante del malware "bancario" Zeus, y cobró protagonismo al conocerse su retirada del mercado abierto de software delictivo o crimeware. Sin embargo, esta desaparición no significa que Citadel deje de ser una potencial amenaza en el Mundo.
Las principales tendencias de Citadel observadas en el segundo semetre del 2012 y principios de 2013 son:
- Ataques selectivos a empresas públicas y privadas, principalmente europeas.
- Mejoras funcionales utilizadas para robar información y dinero.
- Reducción de los objetivos a unos cuantos cientos frente a los miles registrados en los usos anteriores de la familia de malware Zeus.
- Recopilación de credenciales de aplicaciones internas, aplicaciones de sistemas bancarios, sistemas de fabricación, etc., que podrían utilizarse más adelante en ataques contra las mismas apps.
- Aparición del "Poetry Group" (Grupo de poesía) como responsable principal de los ataques basados en Citadel.
Las últimas variantes de Citadel han afectado un área geográfica pequeña: más de 90 % de los objetivos conocidos se han ubicado en Europa. No obstante, dentro del ámbito europeo, los objetivos se han concentrado en el norte de Europa y España.
El malware Zeus se creó para robar dinero, con frecuencia en pequeñas cantidades; en el caso de Citadel reconocieron que los datos, en especial los de credenciales de autenticación, son más valiosos que el dinero. Así, en 2012 comenzaron a surgir variantes de Citadel con el objetivo de penetrar en la infraestructura de TI de gobiernos locales y empresas privadas grandes.
En las empresas grandes, el Poetry Group introduce fragmentos de poemas en inglés antiguo en sus variantes; los ataques contra objetivos del sector público se han ubicado particularmente en Polonia, donde los atacantes utilizan el malware para filtrarse en los repositorios de datos de los gobiernos locales y municipales.
McAfee Labs detectó que algunas nuevas funciones de fraude financiero, escritas en JavaScript, que se manifiestan ante empleados específicos de las agencias del sector público que son el blanco de ataque.
Para ver el informe completo ingresar a www.mcafee.com/us/resources/white-papers/wp-citadel-trojan.pdf.4