Met Citadel kunnen botnetbeheerders nu een klein deel van de zombies inzetten om een specifiek doelwit, bijvoorbeeld een Nederlandse bank, aan te vallen. Zo blijven infecties langer onopgemerkt.

De makers van de malware Citadel zijn geprofessionaliseerde ontwikkelaars, blijkt uit de zesde grote update van de trojan. Hiermee kunnen botnetbeheerders via het administratiepaneel real-time een enkele zombie of kleine groep bots aansturen om een gerichte aanval uit te voeren. Dit meldt beveiligingsdeskundige Limor Kessem van RSA.
Langer onopgemerkt

Botnetherders injecteren de browsers van gebruikers razendsnel met een malafide plug-in. Omdat er geen configuratiebestand naar alle zombies in het netwerk wordt gestuurd, is de kans dat beveiligingsexperts de malware zien langskomen een stuk kleiner. Beheerders van Citadel voeren zo een aanval uit die langer onopgemerkt blijft.

Met de functie kan Citadel gericht worden ingezet, bijvoorbeeld om een Nederlandse bank op de korrel te nemen. Alle zombies in het buitenland die niet met deze bank verbinden, ontvangen de malware dan ook niet. Zo is er geen kans dat de trojan wordt opgepikt in een honeypot van een buitenlandse onderzoeker waarna een wereldwijde waarschuwing volgt.

Fraud-as-a-Service
Kessem wijst op de opkomst van Fraud-as-a-Service. Hackers huren een botnet voor een korte periode via een licentiemodel. Per beheerder kunnen vijf programmeurs een gebruikersnaam en wachtwoord krijgen voor hun eigen stukje binnen het administratiepaneel, aldus Kessem. "De hackers krijgen betaald per opdracht en werken met meerdere beheerders", aldus de beheerder die erop wijst dat Citadel door en voor professionele gebruikers bestaat.



Ondanks deze focus op professionalisering wordt de malware zo gemaakt dat ook beginnende gebruikers ermee kunnen omgaan. Volgens Kessem wordt Citadel zo het lot van SpyEye bespaard, wiens administratiepaneel ingewikkeld is voor nieuwe gebruikers. "De interface van de trojan is verbeterd voor newbies om zo de druk van de ondersteuningsdienst van Citadel te halen."
Citadel lastig te krijgen

De zesde iteratie van Citadel, versie 1.3.5.1, draagt de naam Rain Edition. De malware werd bekend als een gecrowdsourcete variant op de broncode van de beruchte Trojan ZeuS. Inmiddels zijn de makers voorzichtiger geworden en is Citadel niet zo simpel meer te verkrijgen. De malware wordt alleen aangeboden op ondergrondse Russische fora.

Kaspersky's blog Threat Post wijst erop dat de makers er alles aan doen om te voorkomen dat het botnet wordt geļnfiltreerd door beveiliginsdeskundigen van opsporingsdiensten. Daarom wordt de malware niet zomaar aan iedereen verkocht. De enige manier om in aanmerking te komen voor Citadel is als een huidige gebruiker de nieuwe hacker voordraagt bij de makers.