Op een Russisch forum voor cybercriminelen worden inloggegevens voor internetbankieren verkocht die door Citadel-botnets gestolen zijn. Citadel is een 'bouwdoos' voor het opzetten van een eigen botnet. Er is dus geen één groot Citadel-botnet, maar allerlei kleine Citadel-botnets die door verschillende botnetbeheerders beheerd worden. De malware was en is ook in Nederland actief.

Zo was Citadel verantwoordelijk voor de Dorifeluitbraak bij gemeenten en overheidsinstanties en werd de malware ook gebruikt voor het opzetten van het Pobelka-botnet, dat vorig jaar door de Nederlandse beveiligingsbedrijven Digital Investigation en SurfRight werd ontdekt.

Inloggegevens
Citadel verzamelt allerlei gegevens van geïnfecteerde computers, waaronder de inloggegevens voor internetbankieren. Naast het misbruik van deze gegevens voor frauduleuze transacties, worden ze ook op Russische cybercrime-fora aan andere cybercriminelen verkocht, zo ontdekte anti-virusbedrijf McAfee.

Analist Chintan Shah testte de inloggegevens, die in veel gevallen bleken te werken. Ook maakte hij screenshots van de bankrekeningen waarop hij inlogde. "Ons onderzoek laat zien dat Citadel één van de actiefste botnets ter wereld is", laat Shah weten. Dit komt vooral omdat het opzetten van Citadel-botnets vrij goedkoop is.