À la fin du mois dernier, j’ai écrit sur Citadel, une version « open source » du Cheval de Troie ZeuS dont la caractéristique déterminante est une plate-forme de réseau social où les utilisateurs peuvent signaler et corriger les bogues de programmation, suggérer et voter sur de nouvelles fonctionnalités, et généralement guider le développement futur du malware botnet. Depuis lors, j’ai pu jeter un coup d’œil à l’intérieur de cette communauté, et la vue jusqu’à présent suggère que l’approche collaborative de Citadel alimente la croissance rapide de cette nouvelle souche de logiciels malveillants.
La page CRM montre la démocratie en action parmi les utilisateurs du botnet Citadel.
Un client qui a acheté une licence pour le cheval de Troie Citadel a lancé une invitation à rejoindre cette communauté de pirates. Ceux qui ont acheté le logiciel peuvent interagir avec les développeurs et les autres acheteurs via des commentaires soumis au Boutique de la Citadelleune interface frontale qui est mise à disposition une fois que les utilisateurs ont réussi à parcourir un processus d’authentification en deux étapes.
Lors de la connexion au Citadel Store, les utilisateurs voient la page principale de « gestion des ressources client », qui affiche la dernière répartition des votes exprimés par tous les utilisateurs concernant l’opportunité des nouvelles fonctionnalités proposées dans le code du botnet.
Dans la capture d’écran à droite, nous pouvons voir la démocratie en action parmi les mécréants : l’image montre le résultat du vote sur plusieurs modules nouvellement proposés pour Citadel, y compris un plugin qui recherche des fichiers spécifiques sur le PC de la victime, et un « mini- antivirus » qui peut nettoyer une variété de logiciels malveillants, de logiciels publicitaires et d’autres parasites déjà présents sur l’ordinateur de la victime et qui peuvent empêcher Citadel de fonctionner proprement ou furtivement. Actuellement, il existe neuf modules distincts qui peuvent être votés et commentés par la communauté Citadel.
L’exploration de la page de détails de chaque plugin de botnet suggéré révèle les commentaires de divers utilisateurs sur la fonctionnalité suggérée (capture d’écran ci-dessous). Dans l’ensemble, les utilisateurs semblent enthousiasmés par la plupart des nouvelles fonctionnalités suggérées, bien que plusieurs clients aient utilisé la section des commentaires pour avertir des pièges potentiels dans la mise en œuvre des modifications proposées.
Les utilisateurs de Citadel discutent des mérites d’inclure un module pour supprimer d’autres parasites des PC hôtes.
La page de gestion des ressources client révèle également que bien que les principaux auteurs du cheval de Troie Citadel considèrent cela comme leur travail quotidien, ils font de leur mieux pour avoir une vie le week-end. Un avis affiché bien en vue sur la page d’accueil de Citadel CRM se lit comme suit :
Veuillez noter concernant le Help Desk dans la page Jabber chat & CRM:
Tous les jours de 10h00 à 00h30
Sam, Dim – fermévous pouvez nous écrire hors ligne.
Toutes les demandes et questions seront traitées le lundi.
L’atmosphère collégiale cultivée par les auteurs de Citadel semble avoir accéléré la maturité du malware, selon des chercheurs de Séculert. Dans un article de blog publié mercredi, les chercheurs ont déclaré avoir observé au moins cinq nouvelles versions de Citadel depuis la première détection du logiciel malveillant le 17 décembre 2011.
Seculert’s Aviv Raff a déclaré que cela signifie que les mécréants derrière Citadel sortent une nouvelle version du cheval de Troie environ une fois par semaine.
« Le seul cheval de Troie similaire qui s’est approché de ce rythme était le soi-disant cheval de Troie ‘SpyZeus' », a déclaré Raff. « D’autres, y compris ZeuS lui-même, ont mis entre un mois et plusieurs mois pour sortir une nouvelle version. »