Inicio

e-crime

Destapando el "nuevo" Eurograbber: ¿36 millones de euros realmente?

Eurograbber ha llegado para quedarse. Hace unos días Versafe y Check Point Software Technologies publicaron un informe sobre una “nueva” amenaza titulado “A Case Study of Eurograbber: How 36 Million Euros was Stolen via Malware”. Como se puede ver, el título es bastante sensacionalista. Si estuviera bien fundamentado no tendría nada que decir, pero resulta que no se trata de algo tan nuevo, ya que se habla sobre algo que escribí a finales de septiembre cuando todavía trabajaba en S21sec. Entonces lo llamé Botnet Sopelka.

Aparte de ser algo nuevo o no (creo que quien más quien menos alguna vez ha creído ser el primero en algo cuando no lo era), este informe incorpora unas estadísticas sobre usuarios/bancos afectados y, quizá lo más importante, las cantidades robadas en cada país por los ciberdelincuentes: más de 16 millones de euros en Italia, casi 13 millones de euros en Alemania, casi 6 millones de euros en España y más de un millón de euros en Holanda. En total más de 36 millones de euros, como dice el título del informe. Teniendo en cuenta los duros momentos que estamos viviendo en Europa es para pararse a pensar en ello, verdad?

Este informe y, sobre todo, estas cantidades robadas han aparecido publicadas en gran cantidad de medios online, propagándose más rápido que cualquiera de los conocidos troyanos bancarios. Es por eso que me gustaría hacer algunos comentarios sobre el propio informe y estas sorprendentes estadísticas:

 

Enviado por jesparza el Sáb, 2012/12/08 - 18:46.

Blanqueo de dinero a través de sitios de venta de fotos

A mediados del mes pasado, y tras la investigación de un grupo de ciberdelincuentes que usaban ZeuS como forma de enriquecerse, obtuvimos información sobre cómo tenían pensado blanquear ese dinero. Según las instrucciones encontradas (en ruso) su plan se basaba en crear cuentas de vendedores en un sitio de venta de fotos, para posteriormente crear cuentas de compradores con el objetivo de blanquear el dinero y recuperarlo a través de WebMoney.

El grupo responsable de este troyano, probablemente de origen ruso, tenía ciertas anotaciones sobre blanqueo de dinero que parecen haberse sacado de un post de un conocido foro de carding, escrito en enero de 2011. Este mismo post ha sido replicado en distintos foros de la misma temática en febrero y marzo, respectivamente.


Enviado por jesparza el Vie, 2011/05/20 - 18:00.

New ZeuS binary

The evolution continues. Some days ago a new ZeuS binary appeared with the version number 1.3.0.26. This new development is an attempt to improve the stealth techniques used to date, as stated in one of the TODO files found some time ago. After just a quick look, one can notice the following changes:

  • When it's executed and the system isn't infected yet, it copies itself in the directory %SystemRoot%/system32, but with a different filename in each execution. Also it gets the basic file information from the %SystemRoot%/system32/ntdll.dll file (creation, last access and modification dates).

  • If it finds a previous ZeuS version installed it deletes the binary, leaves and shows the hidden files in the next reboot. To give an idea of the situation, one of the latest samples with sdra64.exe as executable filename is the 1.2.12 one.

  • Apparently the configuration and data files are not stored on disk anymore but they're exclusively stored in memory.

Enviado por jesparza el Vie, 2009/11/06 - 13:25.
Distribuir contenido