ZeuS умер, да здравствует Citadel!

В апреле прошлого года в сеть попал исходный код самого известного бота-формграббера ZeuS‘а, который ранее продавался только на закрытых хакерских форумах. После чего стали появляться различные его модификации, из которых самой интересной и быстроразвивающейся можно считать Citadel. Уже в декабре в сети работало свыше 20 бот-сетей, сформированных на его основе и использующих 5 разных версий этого зловреда.

Напомним, что ZeuS – это комплект инструментов для генерации и управления вредоносными программами (троянами), которые занимаются сбором информации из заполняемых пользователем веб форм, данных фтп- доступа и многое другие, после чего пересылают данные на подконтрольные злоумышленникам сервера.

Создатели Citadel, считающие его SaaS-продуком (Software-as-a-Service, ПО-как-услуга), пошли дальше и создали для его пользователей социальную сеть, предлагая новые функции – вносить предоплату, генерировать отчёты об ошибках, участвовать в голосовании, комментировать и обсуждать различные связанные задачи.

Первые признаки работы Citadel были обнаружены в декабре минувшего года. В сети работало свыше 20 бот-сетей, сформированных из свыше чем 100 тыс. заражённых ПК пользователей из Западной Европы, США, Австралии, России и Индии. Наибольшее число заражений обнаружено в Италии (24%) и США (19%).

В каждой версии появляются новые модули и функции, некоторые из которых разработаны специально под заказ клиентов Citadel. Например, функция AES-шифрования даёт возможность шифровать конфигурационный файл вредоноса и трафик обмена данными с C&C-сервером посредством RC4-шифрования (используемого старыми версиями Zeus), или посредством более продвинутого AES-шифрования. Кроме того, на инфицированных машинах блокируется доступ к веб-сайтам антивирусных вендоров, что исключает возможность обновления антивирусной базы данных. Также сделан дополнительный компонент для записи и передачи видео действий с экрана пользователя, и опция самоуничтожения трояна.

Базовый пакет, который состоит из конструктора бота и панели управления, стоит $ 2399 плюс $125 ежемесячной «аренды». Остальные модули нужно докупать.

Уже сейчас понятно, что такой подход авторов к делу может сделать Citadel настоящим бестселлером хакерского андерграунда и серьёзной угрозой для пользователей.