De Citadel-malware die onlangs bij verschillende gemeenten, ministeries en instellingen het Dorifelvirus installeerde, is een bouwdoos die door verschillende bendes wordt gebruikt. Citadel werd voor het eerst begin dit jaar ontdekt en is gebaseerd op de beruchte Zeus banking Trojan.

"Er zijn ontwikkelaars en klanten op de markt", zegt Dmitry Tarakanov van het Russische anti-virusbedrijf Kaspersky Lab tegenover Security.nl. Eén van de opvallende kenmerken van Citadel is dat klanten allerlei nieuwe opties kunnen aanvragen, die dan in toekomstige versies worden verwerkt.

Spelers
De ontwikkelaars bieden Citadel als product aan, wat bestaat uit de Citadel builder, een bouwprogramma. De klanten, die voornamelijk uit botnetbeheerders bestaan, gebruiken de kit om eigen exemplaren van de Citadel-malware te configureren, compileren en genereren. "Wat we in ons lab zien is dat er meerder spelers Citadel gebruiken. Elke speler kiest zijn eigen manier of manieren om de malware te verspreiden", laat Tarakanov weten.

Het kan dan gaan om het gebruik van drive-by downloads, om internetgebruikers via verouderde software te infecteren, maar een andere mogelijkheid is het installeren van Citadel op al bestaande botnets. Hierbij huren de cybercriminelen de computers waar een andere cybercrimineel de controle over heeft. Drive-by downloads komen echter het vaakst voor om internetgebruikers te infecteren, merkt Tarakanov op.

Exploit
Er zou echter geen specifiek beveiligingslek zijn dat voor de verspreiding van Citadel wordt gebruikt. "De gebruikte kwetsbaarheden worden gekozen door de cybercriminelen die verantwoordelijk zijn voor de verspreiding, niet de Citadel-beheerders." Toch kan er volgens Tarakanov worden aangenomen dat sommige Citadel-beheerders zelf internetgebruikers infecteren en geen gebruik van externe diensten maken.

"Ze maken dan hun eigen exploits en plaatsen die op gehackte websites." De analist stelt dat dit mogelijk ook bij het Dorifelvirus is gebeurd. "We zagen Java-exploits en het Citadel beheerderspaneel op dezelfde server. Het kan erop dat wijzen dat deze specifieke cybercrimineel gebruikers via zijn eigen exploits met Citadel infecteerde, maar we kunnen dat niet 100% zeker zeggen."