Citadel, nuevo branch de ZeuS
Google Chrome es a día de hoy el segundo navegador más usado, por lo que era evidente que los troyanos bancarios más populares debían comenzar a soportarlo, pero este paso ha tardado más de la cuenta.
Citadel es una nueva ramificación de ZeuS, basada en el código fuente de la versión 2.0.8.9 filtrada un año atrás, y que ha formado un círculo social en el que los usuarios pueden solicitar nuevas funcionalidades y votar por las que más gusten. Como curiosidad, y como detalle de la profesionalización, vemos que tienen “horario laboral”, y los fines de semana no se responderá a los mensajes enviados. Podemos ver más detalles sobre esto en dos post de Brian Krebs (1 y 2).
Por supuesto, vista la orientación tomada por sus creadores, dos cambios muy importantes que ya están implementados son un cambio de cifrado y la afectación a Google Chrome.
Respecto al cifrado, comentar que en la última muestra analizada, el fichero de configuración se cifra con AES, tanto el descargado desde la web como el almacenado en el registro, pero el tráfico enviado al panel, como puede ser la petición de dicho fichero, que en este caso incluye una pequeña autenticación, sigue estando cifrada con RC4 + VisualEncrypt (xor).
Realmente son unos cambios muy interesantes y, al estar en pleno proceso de desarrollo, es de esperar que vayan surgiendo nuevas versiones con más funcionalidades y con mayor frecuencia que otras familias ya clásicas como pueden ser ZeuS y SpyEye.
Fuente: S21sec eCrime
Citadel es una nueva ramificación de ZeuS, basada en el código fuente de la versión 2.0.8.9 filtrada un año atrás, y que ha formado un círculo social en el que los usuarios pueden solicitar nuevas funcionalidades y votar por las que más gusten. Como curiosidad, y como detalle de la profesionalización, vemos que tienen “horario laboral”, y los fines de semana no se responderá a los mensajes enviados. Podemos ver más detalles sobre esto en dos post de Brian Krebs (1 y 2).
Por supuesto, vista la orientación tomada por sus creadores, dos cambios muy importantes que ya están implementados son un cambio de cifrado y la afectación a Google Chrome.
Respecto al cifrado, comentar que en la última muestra analizada, el fichero de configuración se cifra con AES, tanto el descargado desde la web como el almacenado en el registro, pero el tráfico enviado al panel, como puede ser la petición de dicho fichero, que en este caso incluye una pequeña autenticación, sigue estando cifrada con RC4 + VisualEncrypt (xor).
Realmente son unos cambios muy interesantes y, al estar en pleno proceso de desarrollo, es de esperar que vayan surgiendo nuevas versiones con más funcionalidades y con mayor frecuencia que otras familias ya clásicas como pueden ser ZeuS y SpyEye.
Fuente: S21sec eCrime
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!