Versiones evolucionadas del famoso troyano bancario Citadel han vuelto contra los usuarios japoneses, de acuerdo con investigadores de Trend Micro, que advirtieron que la amenaza podría trasladarse a Europa en cualquier momento.
Los investigadores anunciaron los resultados vinculando los malwares a los servidores de comando y control (C&C) en Europa en un blog público, advirtiendo que la evidencia actual sugiere que los ataques son parte de una campaña más amplia.
“Hemos identificado al menos nueve direcciones IP que actúan como comando y control de los servidores, la mayoría de los detectados pertenecen a Estados Unidos y Europa”, según el informe. “Supervisando estos servidores descubrimos que el 96% de las conexiones a estos servidores vienen de Japón, una prueba más de que la mayoría de las infecciones de troyanos bancarios provienen de un país específico.”
Los investigadores de Trend Micro informaron detectar 20 mil direcciones IP únicas que se conectan a los servidores de malware. Durante seis días fue seguido activamente.
“A lo largo de un periodo de seis días, se han detectado no menos de 20 mil direcciones IP que se conectan a los servidores, el descenso de principio a fin ha sido mínimo. Esto significa que todavía hay un gran número de sistemas infectados que roban credenciales de banca en línea y envían a los cibercriminales responsables”, decía el informe.
La noticia es el último incidente del troyano, el cual reaparece luego de acabar con los intentos de hacer cumplir la ley. En el pasado, Microsoft y la Oficina Federal de Investigación (FBI, por sus siglas en inglés) montaron numerosos intentos de desmontaje contra los criminales que utilizaron el troyano Citadel. La campaña tuvo cierto éxito con el par de derribamientos de la botnet Citadel en junio de 2012.
A pesar del éxito del desmontaje, el troyano Citadel ha resurgido constantemente. El director de seguridad de Trend Micro, Rik Ferguson, dijo que la naturaleza abierta del malware y su disponibilidad para el público en numerosos mercados negros cibernéticos significa que es probable que más versiones del troyano continúen apareciendo.
“Citadel es una rama del código fuente de Zeus y ahora es una pieza muy importante del malware, tanto financiera como en su propio derecho y como una plataforma de distribución de software para otras actividades maliciosas como ransomware”, escribió. “Es evidente que en las detecciones se encuentren las acciones de la policía española contra el grupo criminal Reveton y los derribos de las botnets, como la reciente acción de Microsoft contra los 1400 dominios de Citadel que pueden afectar las operaciones criminales, pero cualquier persona con acceso a un generador, es capaz de empezar de nuevo la reconstrucción de redes de bots e infectar nuevas víctimas.”
Ferguson añadió que las nuevas versiones no se limitan a señalar que provienen de Japón, aclarando que las empresas europeas también están en riesgo. “Citadel, por supuesto, no se especifica en dañar a las víctimas japonesas, pues preveemos la actividad de Citadel en los territorios europeos”, dijo.
Muchas otras empresas de seguridad de Trend Micro, han enumerado a Citadel como una de las mayores amenazas que enfrentan las empresas. Recientemente, en el informe Q1 2013 , McAfee lista las versiones modificadas de los troyanos Citadel y Koobface como dos de las mayores amenazas cibernéticas que enfrentan.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT