Español | English
rss facebook linkedin Twitter

Citadel, nuevo branch de ZeuS

Google Chrome es a día de hoy el segundo navegador más usado, por lo que era evidente que los troyanos bancarios más populares debían comenzar a soportarlo, pero este paso ha tardado más de la cuenta.

Citadel es una nueva ramificación de ZeuS, basada en el código fuente de la versión 2.0.8.9 filtrada un año atrás, y que ha formado un círculo social en el que los usuarios pueden solicitar nuevas funcionalidades y votar por las que más gusten. Como curiosidad, y como detalle de la profesionalización, vemos que tienen “horario laboral”, y los fines de semana no se responderá a los mensajes enviados. Podemos ver más detalles sobre esto en dos post de Brian Krebs (1 y 2).

Por supuesto, vista la orientación tomada por sus creadores, dos cambios muy importantes que ya están implementados son un cambio de cifrado y la afectación a Google Chrome.

Dentro de la afectación, vemos un detalle curioso, y es que algunos de los hooks establecidos no son detectados por las comprobaciones habituales, y es que estos hooks no están establecidos en funciones exportadas, sino que se establecen en funciones no exportadas de la librería chrome.dll. Estas funciones son:
  • SSLClientSocketNSS::Connect
  • SSLClientSocketNSS::Disconnect
  • SSLClientSocketNSS::Read
  • SSLClientSocketNSS::Write
  • TCPClientSocketWin::Connect
  • TCPClientSocketWin::Disconnect
  • TCPClientSocketWin::Read
  • TCPClientSocketWin::Write
En las siguientes dos imágenes se puede observar el hook establecido en "Connect".

Connect normal

Connect hookeado

Respecto al cifrado, comentar que en la última muestra analizada, el fichero de configuración se cifra con AES, tanto el descargado desde la web como el almacenado en el registro, pero el tráfico enviado al panel, como puede ser la petición de dicho fichero, que en este caso incluye una pequeña autenticación, sigue estando cifrada con RC4 + VisualEncrypt (xor).

Realmente son unos cambios muy interesantes y, al estar en pleno proceso de desarrollo, es de esperar que vayan surgiendo nuevas versiones con más funcionalidades y con mayor frecuencia que otras familias ya clásicas como pueden ser ZeuS y SpyEye.

Jozsef Gegeny & Mikel Gastesi
S21sec ecrime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login