De malware die eerder bij verschillende overheidsorganisaties het Dorifelvirus verspreidde, wordt nu ingezet om kassasystemen te infecteren, zo meldt het Britse anti-virusbedrijf Sophos. Het gaat om de Citadel-malware, die oorspronkelijk ontwikkeld is om geld van online bankrekeningen te stelen. Verschillende bendes gebruiken Citadel, er is dus geen sprake van één groot Citadel-botnet.

Recentelijk ontdekte Sophos een Citadel-variant die het op kassasystemen heeft voorzien. Uit het configuratiebestand van deze variant blijkt dat het een klein aantal Canadese financiële instellingen en banken als doelwit heeft, waaronder een bedrijf dat betalingen van Point Of Sale apparaten en credit- en debitkaarten verwerkt.

Ontwikkeling
Volgens het anti-virusbedrijf beschikken accounts bij deze bedrijven over veel meer kaartgegevens, waardoor een aanval de aanvaller veel meer oplevert. Daarnaast werd in het configuratiebestand nog extra code ontdekt die op de websites van Canadese banken wordt geïnjecteerd. Het gaat dan om extra velden waarin klanten om meer gegevens wordt gevraagd.

De eigenaren van het botnet hebben het de naam 'test' gegeven, wat volgens Sophos erop duidt dat het botnet zich nog in de ontwikkelingsfase bevindt en verdere verbeteringen zeer waarschijnlijk zijn.

"Dit configuratiebestand laat zien hoe flexibel en krachtig het Citadel-platform is. We kunnen zien hoe een malware-exemplaar kan worden omgevormd van een algemene wachtwoordsteler tot een gevaarlijke en gerichte dreiging om vervolgens, via een paar kleine aanpassingen aan de configuratiegegevens, zeer waardevolle accounts te compromitteren", zegt James Wyke.