Schädling ändert Ziel im Fluge

RSA veröffentliche die Analyseergebnisse zu der neuen Version des Bank-Trojaners Citadel. Das Unterscheidungsmerkmal der neuen Variante liegt in der Möglichkeit der dynamischen Rekonfiguration, die es dem Betreiber ermöglicht, die Parameter der Web-Infektion in Echtzeit zu ändern und die entsprechenden Veränderungen auf konkrete Bots oder Bot-Gruppen zu laden, ohne dass die Konfigurationsdateien dabei aktualisiert werden müssen.

Die Modifikation von ZeuS, bekannt als Citadel, wird auf dem Schwarzmarkt als SaaS-Produkt mit vollwertigem Begleitsystem positioniert. Der Schädling wird unter aktiver Teilnahme der gesamten Citadel-Community sehr schnell immer weiter optimiert. v1.3.5.1 Rain Edition, die auf den Radar von RSA geriet, ist bereits das sechste Release im Rahmen des Crowdsourcing-Projekts, das zu Beginn des laufenden Jahres ins Leben gerufen wurde.

Die Technologie Config, die in der neuen Version von Citadel umgesetzt wurde, sieht die Existenz einer bestimmten Instruktion vor, die den Bot dazu bringt, sich alle 2 Minuten mit dem Steuerungsserver zu verbinden und eine persönliche Aktualisierungsdatei mit frischen Injection-Packs anzufordern. Der gesamte Prozess wird von einem besonderen Verbreitungsmechanismus gesteuert, einem Dispatcher, der entscheidet, welche Injections für wen bestimmt sind. Etwas Ähnliches kann auch ein anderer Bank-Trojaner, Neloweg, der ebenfalls Seiten im Fluge modifiziert, indem er Daten vom Server abruft. Er benutzt aber keineswegs die Konfigurationsdatei, sondern die neue Version von Citadel gewährt dem Botmaster laut RSA beide Optionen, die dieser nacheinander oder gleichzeitig einsetzen kann. Wenn die Hauptkonfigurationsdatei des Bots dabei eine neuere Version der Injection-Auswahl enthält, als auf dem Server zur Verfügung gestellt wird, verwendet der Bot automatisch diese, was die Effizienz der Attacken auf Banken erhöht.

Die Version v1.3.5.1 Citadel bietet zudem die Option, den Zugriff auf das Administrationspaneel einzuschränken. Jeder Administrator kann bis zu fünf Programmierer in Dienst nehmen, denen er jeweils das Passwort für eine Sektion des Steuerungspaneels zur Verfügung stellt. Die Bereitsteller der Injections können ihre Machwerke entwickeln und speichern, Bezahlung für jedes Pack erhalten und mit mehreren Botmastern zusammenarbeiten. Der Betreiber des Botnetzes kontrolliert den gesamten Prozess und nimmt die Injections in der Reihenfolge ihres Erscheinens an und verteilt diese an ausgewählte oder an alle infizierten Rechner.

Die Benutzeroberfläche des Trojaners wurde vereinfacht, damit unerfahrene Neulinge den Technischen Support nicht mit Anfragen überlasten. Zu diesem Zweck wird auch die Lösung komplexer, höchst technischer Fragen, deren Zahl mit dem Wachsen der Citadel-Community immer größer wird, von nun an den Anwendern selbst überlassen, die aufgerufen sind, sich über CRM oder das Forum aktiv auszutauschen. Seinem Versprechen treu bleibend, den freien Verkauf von Citadel auf dem Schwarzmarkt einzuschränken, erinnert der Technische Support die Kunden daran, dass er sich das Recht vorbehält, jedem Interessenten die Ausgabe einer Lizenz zu verweigern – ohne Angabe von Gründen. Durch eine solche Politik können sich die Autoren des Projekts vor unerwünschten Insidern, wie etwa Virenjägern oder Ordnungshütern schützen. Nach Angaben von RSA wird der Schädling nach wie vor ausschließlich über russischsprachige Untergrundforen verbreitet, Verkaufsangebote in englischer Sprache wurden bisher nicht registriert.

Quelle:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.