Selon les chercheurs de l'entreprise de sécurité Seculert, les créateurs du malware Citadel ont adopté un modèle de développement Open Source qui leur permet de corriger collectivement les bugs et d'ajouter plus rapidement des fonctionnalités à leur logiciel malveillant. Citadel est basé sur ZeuS, l'un des plus anciens et des plus populaires Cheval de Troie mis au point pour pirater les services bancaires en ligne. Zeus a été abandonné par son créateur fin 2010, mais quelques mois plus tard, le code source de son malware a été diffusé sur le Net.

Depuis la publication de son code source, Zeus a servi de base au développement d'autres Trojan comme Ice IX, et aujourd'hui, Citadel. « Le 17 décembre 2011, pour la première fois, le laboratoire de recherche de Seculert a mis en évidence l'existence d'un botnet Citadel, » a déclaré le spécialiste de la sécurité dans un blog. « Le taux d'adoption et le développement de ce malware est en pleine expansion. » Seculert dit avoir identifié plus de 20 réseaux de zombies utilisant des versions différentes du Cheval de Troie. « Chaque version comporte de nouveaux modules et de nouvelles fonctionnalités, certaines proposées par les clients de Citadel eux-mêmes, » a indiqué l'entreprise de sécurité. L'aspect le plus intéressant de ce malware est sans aucun doute le processus adopté pour son développement. Les modalités de développement adoptées pour Citadel ressemblent à celles des communautés supportant des projets Open Source. « L'organisation est calquée sur le développement des logiciels courants : les créateurs de Citadel fournissent à leurs clients un manuel utilisateur, des avis donnant des détails sur les mises à jour et même un contrat de licence, » a déclaré Seculert.

Un ensemble d'outils pour personnaliser Citadel

A l'image de son logiciel parent, Citadel est vendu comme un ensemble d'outils logiciels criminels sur un marché clandestin. La boîte à outils permet aux fraudeurs de personnaliser le Cheval de Troie en fonction de leurs besoins et de leur infrastructure de commandement et de contrôle. Cependant, les auteurs de Citadel sont allés encore plus loin : ils ont créé une plate-forme en ligne sur laquelle leurs clients peuvent effectuer des demandes de fonctionnalités spécifiques, mais aussi signaler des bogues et même apporter leur contribution au développement des modules.

Les chercheurs, qui ont analysé les différentes versions de Citadel sur une courte période, ont pu constater qu'elles comportaient à chaque fois des améliorations conséquentes, comme l'apparition du chiffrement AES pour les fichiers de configuration, le blocage de sites scannant les virus sur les ordinateurs infectés, le blocage de services automatisés pour pister les réseaux de zombies et l'ajout de capacités de capture vidéo à distance des écrans sur les ordinateurs infectés. Seculert pense que le succès de ce Cheval de Troie pourrait amener d'autres auteurs de logiciels malveillants à adopter le modèle Open Source. « Cette récente évolution marque peut-être une nouvelle tendance dans le développement des logiciels malveillants, » a déclaré Seculert.