Ondanks de overwinning die Microsoft op de Citadel banking Trojan claimde wordt de malware nog steeds door cybercriminelen ingezet. Volgens het Japanse anti-virusbedrijf Trend Micro is er zelfs sprake van een heuse comeback, nadat het 20.000 met Citadel besmette IP-adressen had ontdekt.

Citadel is ontwikkeld om geld van online bankrekeningen te stelen, maar kan ook andere gegevens op besmette computers buitmaken. De malware wordt als "bouwdoos" aangeboden, waardoor ook cybercriminelen met minder technische kennis eenvoudig hun eigen varianten kunnen genereren en verspreiden.

Vanwege deze toegankelijkheid werd Citadel zeer populair en verschenen er honderden Citadel-botnets. In juni van dit lanceerde Microsoft een operatie tegen Citadel, waarbij 1400 botnets werden uitgeschakeld. Door de actie zouden 88% van de Citadel-botnets zijn verdwenen, aldus de softwaregigant.

IP-adressen

Trend Micro ontdekte onlangs een campagne waarbij een Citadelvariant werd ingezet om inloggegevens voor internetbankieren te stelen. In een periode van zes dagen werden 20.000 unieke IP-adressen waargenomen die met de malware besmet waren. Opmerkelijk aan de infecties was dat het bijna alleen om Japanse internetgebruikers ging.

96% van de besmettingen wezen namelijk naar een Japans IP-adres. Het komt vaker voor dat criminelen zich op een specifieke regio richten. Zo was het Pobelka-botnet dat eind vorig jaar werd ontdekt vooral in Nederland actief. Ook Pobelka was op een Citadelvariant gebaseerd.