Citadel Tracking

С середины декабря эксперты Seculert насчитали свыше 20 бот-сетей, сформированных на основе Citadel и использующих 5 разных версий этого зловреда.

Напомним, что Citadel ― одна из новейших модификаций ZeuS, которые стали активно множиться после утечки исходного кода в Сеть. Его авторы позиционируют его на черном рынке как SaaS-продукт и в обеспечение развития своего open-source проекта создали мощную CRM-платформу, мобилизующую опыт и ресурсы нового киберсообщества.

Seculert удалось определить географический разброс нескольких ботнетов, в состав которых входят совокупно свыше 100 тыс. ПК, зараженных Citadel. Его жертвы ― жители Западной Европы, США, Австралии, России и Индии. Наибольшее число заражений обнаружено в Италии (24%) и США (19%), в 2-3 раза меньше ― в Австралии, Германии, Польше, Великобритании.

Зафиксированные версии Citadel различаются набором дополнительных модулей и опций, некоторые из них были предложены самими пользователями. Например, одна из версий имеет опцию шифрования конфигурационного файла и каналов C&C связи по AES, и клиенту предоставляется выбор: использовать этот стандарт или перешедший по наследству от «Зевса» RC4. Citadel обрел также средство защиты от сторонних глаз, отслеживающих вредоносную активность (Zeus Tracker, MalwareURL и т.п.). Загрузка обновлений и файлов конфигурации в пределах конкретного ботнета теперь осуществляется с использованием особого ключа.

Ресурсы поставщиков антивирусов и других защитных решений занесены в список запрещенных; эта опция позволяет Citadel блокировать загрузку новых средств обеспечения безопасности и обновлений для тех, что уже установлены. Модуль видеозаписи действий пользователя, отображаемых на экране, тоже предоставляется как опция. Он использует mkv-кодек и активируется при заходе жертвы на определенные сайты, но видеозаписи требуют больших объемов памяти на C&C сервере.