Được gọi là Citadel, mảnh mớicủaphần mềm độc hạidựatrênZeus,một trongcácTrojanngân hàngtrựctuyếnlâuđờinhấtvà phổ biến nhất. Zeusđã bị bỏ rơibởitác giả của nóvào cuối năm 2010, vàmã nguồn của nóbị rò rỉmột vàithángsauđó.
Kể từkhicông bố công khai, mã nguồnZeusđãphụcvụnhư là cơ sởcho các Trojankhác phát triển, bao gồmIceIXvà bây giờ làCitadel.
“Phòng nghiên cứu củaSeculertđã pháthiệnradấu hiệu đầu tiêncủa mộtbotnetCitadelvàongày 17 Tháng Mười Hai năm 2011” –công ty bảo mật nàycho biếttrong một bài đăngblog có tên"Mức độ ápdụngvà phát triểncủaCitadelngày một phát triển nhanh chóng."
Seculert đã xác địnhhơn 20botnetsửdụngcácphiên bản khác nhaucủa Trojannày. "Mỗi phiên bản đượcthêmvàomô-đun vàcáctínhnăngmới, một số trong đóđãđượccung cấp bởichính cáckhách hàngcủa Citadel," công ty cho biết.
Các khía cạnh thú vị nhất củaCitadellàquá trìnhphát triểncủa nó, màlàtương tự nhưnhững kẻ đứngđằngsaucộng đồng hỗ trợcác dự ánmã nguồn mở. "Tương tựnhưcho các công typhần mềm hợp pháp, các tác giả củaCitadelcung cấp cho khách hàngcủahọ mộtbản Hướng dẫn sử dụng, Phát hànhvà Hiệp địnhGiấy phép" – theoSeculert.
Giống nhưcác tiền bối đi trước, Citadelđược bánnhư là mộtbộcôngcụcrimewaretrên thị trườngngầm. Tookitcho phépnhững kẻ lừa đảocó thể tùy chỉnhTrojantheonhu cầu của họ, và chỉ huy kiểm soátcơ sở hạ tầng.
Tuy nhiên, các tác giả Citadelthậm chí còn đixa hơn vàphát triểnmột nền tảngtrựctuyến, nơikhách hàng có thểyêu cầutính năng, thông báo lỗi, và thậm chíđóng gópmô-đun.
Trong khi phân tíchmột phiên bảnCitadelkhác, cái mà đã đượcphát hànhthành công nhanh chóng, nhànghiêncứucủa Seculert đãphát hiệnnhữngcảitiếnnhưviệcsửdụngmã hóa AES vàcác file cấu hình, ngăn chặncác trang webchống virustrênmáy tính bị nhiễm, ngăn chặnbotnettự động,dịch vụtheo dõivàbổ sungghi âm các màn hình videotừ xa.
Các công ty an ninhtinrằngsự thành công củaTrojannàycó thể láicáctác giảphần mềm độc hạikhác sangápdụngmô hình nguồnmở. "Sự phát triển gầnđâycó thểlàmột dấu hiệu củamột xu hướngtrong quá trình tiến hóa củaphần mềm độc hại" – theoSeculert.
Thùy Linh
