Cualquier negocio exitoso sabe que no puede confiar únicamente en un mercado para el crecimiento futuro. Las compañías de software a menudo conducen negocios en varios mercados internacionales y, por lo general, localizan productos y mensajería para cada mercado en su lengua materna. El malware hace lo mismo.

Una reciente variante de Citadel, descubierta por Trusteer, es capaz de entregar páginas web fraudulentas que son automáticamente personalizadas a la lengua de cada mercado y marcas que tiene como objetivo.

Aunque no es el primer uso de inyección HTML en varios idiomas, los autores de esta variante, se han tomado el tiempo de personalizar las inyecciones HTML para múltiples marcas en varios idiomas. Los objetivos de esta variante incluyen las redes sociales, los bancos y los principales sitios de comercio electrónico, como Amazon.com. Los autores de Citadel crearon scripts de inyección HTML para objetivos italianos, españoles, franceses y alemanes, así como versiones británicas, canadienses, australianas y americanas de cada marca.

Una vez que un dispositivo se infecta, Citadel mostrará una pantalla con la inyección personalizada la próxima vez que la víctima visite el sitio web objetivo, esta se crea tomando como base una plantilla predefinida que cambia según la dirección URL de destino. Cada elemento (texto, campos de entrada, menús desplegables, etc.) se crea con base en la localización del script. Por ejemplo, el titulo “Detected suspicious activity. Your account has been blocked” cambiará a lo siguiente cuando un usuario accede a un sitio infectado de Amazon:

Amazon.fr – “On dtecte l'activitmfiante. Votre compte est bloqu.”

Amazon.de – “Es wurde die verdchtige Aktivitt bemerkt. Ihr Account wurde gesperrt.”

Amazon.it – “Si e' verificata un attivita' sospetta. Il Suo account e' stato bloccato.”

Amazon.es – “Se ha detectado actividad maliciosa. Su cuenta ha sido bloqueada.”

La sofisticación del malware combinado con el bajo perfil mantenido por la banda criminal sugiere que esto es trabajo de un equipo cibercriminal altamente sofisticado.

El uso de una simple variante, que es capaz de dirigir múltiples marcas internacionales, proporciona una ventaja significativa en el proceso de monetización consiguiente. El malware no sólo obtiene las credenciales de inicio de sesión, también captura datos de la tarjeta de crédito que pueden venderse por separado a otros criminales.

Los delincuentes que compran y venden las credenciales robadas en el mercado negro generalmente prefieren tratar con credenciales específicas de la región. Por ejemplo, a un criminal español probablemente le resulte más fácil retirar fondos de las cuentas españolas en lugar de las cuentas estadounidenses.