A Microsoft az elmúlt héten leállította a Citadel botnet-et, és ezzel sikeresen elejét vette annak, hogy a bűnözők a káros szoftver segítségével megszerezzék az áldozatok személyes és banki adatait. Azonban az akció keretében kiütöttek egy olyan sinkhole szervert is, amelynek segítségével a kutatók arra próbáltak fényt deríteni, hogy milyen módon tudnak a leghatékonyabban védekezni a kiberbűnözők ellen. A Microsoft és az FBI közös akciójában több mint 300 domain nevet foglaltak le, amelyet az abuse.ch domain-ra irányítottak át a kiberbiztonsági szakértők.

A Microsoft és az FBI szorosan együttműködve sikeresen átvette az irányítást a Citadel káros szoftver által felépített botnet felett, amelyet arra terveztek, hogy ellopja az áldozatok online banki és személyes adatait. A szoftveróriás azonban figyelmeztetett arra, hogy hogy a Citadel botnet mérete és összetettsége miatt nem lehetett az egész világon egységesen leállítani a rendszert. A botnet-ek olyan számítógépek hálózata, amelyeket káros szoftver fertőzött meg, és azon keresztül kiberbűnözők távolról tudják irányítani azt, így például spam-et vagy malware-t terjeszthetnek, számítógépeket és szervereket támadhatnak, valamint csalásokat és egyéb bűncselekményeket követhetnek el.

A Trusteer internetes biztonsági cég szerint a Citadel káros szoftver új verziója a Payza online fizetési rendszert is célba tudja venni azzal, hogy az áldozatok böngészőjéből indít támadást, amivel meg tudja szerezni azok felhasználói adatait. A Citadel egy olyan trójai program, amelynek elsődleges célja hogy online banki felhasználói adatokat szerezzen, de már találtak olyan verziót is, amely a Reveton ransomware-rel működött együtt, amely zárolja a számítógépet, és pénzt zsarol ki a felhasználókból azzal, hogy illegális tevékenység miatti rendőrségi eljárással riogatja őket. Mint a legtöbb banki trójai, a Citadel is képes arra, hogy valós időben módosítsa a böngészőben megnyitott weboldalt, így Man-in-the-Browser (MitB) támadást lehet indítani, a felhasználók pedig sokkal kevésbe tudják kiszűrni, hogy adathalász támadás áldozatává válnak, mivel a böngésző címsorában a valódi cím látszik.

Új nap virrad, újabb média céget törtek fel. Most az NBC vált a hacker-ek áldozatává, és ezzel beállhat a The New York Times és a Wall Street Journal által megkezdett sorba. Több szakértő is megerősítette, hogy feltörték az NBC weboldalát, és ez utat nyitott a veszélyes Citadel banki trójainak. Az oldalon egy olyan iframe-et fedeztek fel, amely átirányította a látogatókat egy olyan oldalra, amelyen keresztül a RedKit Exploit Kit letöltötte a Citadel-t a gyanútlan felhasználók gépére. A HitmanPro blog szerint két olyan hivatkozás is volt az oldalon, amely a fertőzött weblapra vezetett. Az egyik a főoldalon volt, a másik egy belső lapon. A hivatkozások Java és PDF exploit-okra mutattak, amelyek telepítették a Citadel-t (a Java sérülékenység ugyanaz volt, amit a Java 7u11 verzióban javított az Oracle). Az oldal órákon keresztül volt fertőzött, és a támadók folyamatosan változtatták az iframe-et, és a hivatkozások is több fertőzött oldalra mutattak.

A Citadel néven ismertté vált banki trójai 2012 januárjában bukkant fel az underground fórumokon, azóta pedig a pénzintézetek legnagyobb fenyegetésévé nőtte ki magát. A Zeus trójai fejlett változata egy keylogger, amely az online banki felhasználói adatokat próbálja megszerezni, majd a programot irányító csalók ezek birtokában hozzáférnek az áldozatok bankszámláihoz. A feltételezések szerint kelet-európai bűnözők állnak a káros szoftver mögött. Komoly figyelmet akkor kapott a kártevő, amikor az FBI idén augusztus 17.-én kiadott egy jelentést a bankok és más pénzintézetek számára, amelyben felhívták a figyelmet a terjedőben lévő trójai programra. A legújabb Citadel variáns olyan trükköt alkalmaz, amelyet még sosem láttak ilyen típusú káros szoftvernél. Miközben az áldozat az online banki felületen dolgozik, a böngésző csaló felugró ablakokat jelenít meg, amely a felhasználói adatok megadására szólít fel.

A legutolsó Citadel trójai egy újabb bizonyíték arra, hogy a vállalati biztonság csak annyira erős, mint az alkalmazottak által használt biztonsági szempontból leggyengébb eszköz. Másképpen megfogalmazva: nem túl erős. A Trusteer szakértője Amit Klein egy blogposztban hozta nyilvánosságra, hogy a biztonsági cég felfedezett egy olyan Citadel variánst, amely man-in-the-browser támadással betörést hajtott végre egy forgalmas nemzetközi repülőtér VPN (virtual private network) hálózatába. A Trusteer nem nevezte meg a repülőteret, sem az országot.

Újabb nap, újabb káros szoftver és ezúttal ez egy ismeretlen, Delphi nyelveben íródott alkalmazás, amely titkosítja a merevlemezen található dokumentumokat és lecseréli azokat álcázott futtatható állományokra. A cégek IT részlegei jogosan tartanak a hasonló kártékony szoftverektől, hiszen  ilyen fertőzés egy egész vállalat működését megbéníthatja. És hogy vajon, hogyan eshetünk áldozatul egy ilyen támadásnak? Ezúttal úgy tűnik nem egy népszerű weboldal drive-by sérülékenységének kihasználásáról, vagy egy teljes "reklámszerver" fertőzöttségéről beszélünk, hanem egy új Zeus variáns, a Citadel az, amely letölti és futtatja az "a.exe" fertőzött állományt.

Kiberbűnözők megtalálták a módját, hogy megkerüljék a két faktoros autentikációs rendszereket, amikkel védik az üzleti VPN kapcsolatokat, állítja a Trusteer biztonsági cég jelentése, amely egy olyan célzott támadásról számolt be, amit egy repülőtéri hálózat ellen használtak. Biztonsági okokból a Trusteer nem hozta nyilvánosságra a repülőtér nevét, de a támadás egy olyan összetett módszert követett, amelyben a Citadel trójai segítségével megszerezték az egyszer használatos jelszót (one-time password - OTP), amelyet a gateway autentikációs rendszer bocsátott ki. Az OTP a képernyőn megjelenő CAPTCHA-ba volt beágyazva.

Az S21sec két kutatója Mikel Gastesi és Jozsef Gegeny a Citadel káros szoftver egy olyan variánsát fedezték fel, amely ha virtuális gépben fut, ellenáll az analízisnek. A Citadel egy Zeus származék, amely online banki adatokat, bankkártya- és hitelkártya számokat gyűjt a fertőzött gépekről. "Amikor a legújabb Citadel malware-t (1.3.4.5) elemeztük, két olyan változást figyeltünk meg, ami megnehezíti az életünket. Ezeket a változásokat különböző, kiberbűnözők által látogatott fórumokon is bejelentették". Az új funkció egy olyan anti-emulátor képesség, amely megakadályozza a reverse  engineering erőfeszítéseket, így lassabban lehet csak haladni a kártevő működésének feltérképezésével.

Amikor a népszerű Zeus banki trójai készítői tavaly nyilvánosságra hozták a program forráskódját, sok biztonsági szakértő a káros szoftverek özönére figyelmeztette az internet felhasználókat. Ezzel ellentétben azonban a jól ismert program viszonylag kevés új variáns jelent meg. Megjelent viszont egy új, káros szoftver mint szolgáltatás modell, melynek első képviselője a Citadel kártékony szoftver. A vélhetően orosz és ukrán programozók által készített program egy olyan kezdeményezés, melyben jobb támogatást biztosítanak a Zeus kódján alapuló trójaihoz. A "keretrendszer" segítségével ugyanakkor a használóknak lehetőségük van akár saját modulokat is hozzáadni a káros szoftverhez.