Citadel

Análisis del troyano Andromeda / Gamarue

Hace unos días, tras leer este post sobre el fail de Joe Security con Andromeda, y encontrarme otra vez con varias muestras de la misma familia decidí que tenía que escribir algo sobre esto. Al menos para que me sirva de referencia y no tenga que empezar de cero la siguiente vez...Soy un poco Dory ;)

Cuando estuve trasteando con este malware hace unos meses me pareció bastante interesante por lo perrete que es a la hora de “debuguear” y analizar. Buscando un poco sobre el tema se pueden encontrar referencias con otro nombre, Gamarue, en este caso por parte de TrendMicro. Parece que está de moda renombrar el malware, y al final te encuentras con familias que tienen hasta tres nombres, como es el caso de Feodo / Cridex / Bugat. En fin, el caso es que entre la información que encontré están estos dos enlaces, con detalles técnicos muy útiles a la hora de meterse en faena:

 

 

Sopelka VS Eurograbber: really 36 million EUR?

Ya ha pasado casi un mes de la celebración de la última edición de Rooted CON. Un año más tuve el placer de estar allí como ponente, junto con Mikel Gastesi, hablando de la botnet Sopelka y el posterior informe de Eurograbber que publicaron Check Point y Versafe. Podéis descargar la presentación desde este enlace.
 

 

Destapando el "nuevo" Eurograbber: ¿36 millones de euros realmente?

Eurograbber ha llegado para quedarse. Hace unos días Versafe y Check Point Software Technologies publicaron un informe sobre una “nueva” amenaza titulado “A Case Study of Eurograbber: How 36 Million Euros was Stolen via Malware”. Como se puede ver, el título es bastante sensacionalista. Si estuviera bien fundamentado no tendría nada que decir, pero resulta que no se trata de algo tan nuevo, ya que se habla sobre algo que escribí a finales de septiembre cuando todavía trabajaba en S21sec. Entonces lo llamé Botnet Sopelka.

Aparte de ser algo nuevo o no (creo que quien más quien menos alguna vez ha creído ser el primero en algo cuando no lo era), este informe incorpora unas estadísticas sobre usuarios/bancos afectados y, quizá lo más importante, las cantidades robadas en cada país por los ciberdelincuentes: más de 16 millones de euros en Italia, casi 13 millones de euros en Alemania, casi 6 millones de euros en España y más de un millón de euros en Holanda. En total más de 36 millones de euros, como dice el título del informe. Teniendo en cuenta los duros momentos que estamos viviendo en Europa es para pararse a pensar en ello, verdad?

Este informe y, sobre todo, estas cantidades robadas han aparecido publicadas en gran cantidad de medios online, propagándose más rápido que cualquiera de los conocidos troyanos bancarios. Es por eso que me gustaría hacer algunos comentarios sobre el propio informe y estas sorprendentes estadísticas:

 

Botnet Sopelka: tres troyanos bancarios y un sólo panel

La botnet Sopelka empezó a gestarse en mayo de este año y su actividad cesó a finales del mes pasado. Tiene el nombre Sopelka debido al path usado en la distribución de binarios y archivos de configuración, y era una curiosa mezcla de variantes de los conocidos troyanos bancarios Tatanga, Feodo y Citadel. El objetivo de esta botnet era la recolección de credenciales bancarias de entidades europeas, afectando en gran medida a España y Alemania, pero también a Holanda, Italia y Malta. Además, se hacía uso de diferentes componentes móviles para teléfonos Android, BlackBerry, y también Symbian, el primer sistema operativo  detectado con este tipo de componente malicioso, hace ya más de dos años.
Durante el tiempo de actividad de la botnet se realizaron por lo menos cinco campañas, aunque seguramente se hubieran realizado más. De estas cinco campañas tres de ellas instalaban variantes de Citadel (versiones 1.3.4.0 y 1.3.4.5), otra, Feodo, y en la restante fue Tatanga el troyano elegido. Todas las campañas de Citadel llevaban la palabra "sopelka" (un tipo de flauta, en ruso) en su path de descarga, tanto de binarios como de archivos de configuración, pero no así en el caso de Tatanga y Feodo.
Distribuir contenido