El malware Citadel, un troyano bancario que usa una variante del código fuente de Zeus y cuyos creadores han adoptado el modelo Software-as-a-Service (SaaS) para las modificaciones del kit de Crimeware que produce sus variantes, actualmente se distribuye por el ransomeware Reventon.

"El ataque inicia cuando se engaña a la víctima para realizar descargas desde algún sitio web. Aquí empieza la instalación del malware Citadel en la máquina objetivo, el cual a su vez  descarga la la biblioteca DLL ransomware de su servidor de comando y control (Command and Control, C&C)", explica Amit Klein de Trusteer.

El ransomware bloquea la computadora infectada y lanza una ventana emergente que aparentemente proviene del Departamento de Justicia de los Estados Unidos:

El mensaje señala que la dirección IP que pertenece a la máquina del usuario fue identificada como usuaria de sitios web de contenido ilegal.

A fin de que desaparezca la amenaza y mantener desbloqueadas las computadoras, los usuarios deben pagar una multa de $100 USD mediante un método de prepago electrónico como MoneyPack o Paysafecard.

El ransomware ayuda a ocultar el hecho de que el malware Citadel ha sido instalado y está a la espera de información de banca en línea y de las tarjetas de crédito de los usuarios a través de una serie de técnicas específicas.

"Este es otro ejemplo de malware financiero propagándose más allá del fraude bancario y comienza a utilizarse como plataforma para otros tipos de ataques cibernéticos. Citadel es capaz de dirigirse a los empleados para robar credenciales corporativas, y en ese caso, ir directamente a las víctimas para robar su dinero, en lugar de hacerlo a la institución financiera", concluyó Klein.