SlideShare una empresa de Scribd logo

José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million EUR? [Rooted CON 2013]

RootedCON
RootedCON

La botnet Sopelka empezó a gestarse en mayo de 2012 y su actividad cesó a finales del mes de septiembre del mismo año. La curiosidad de esta botnet radicaba en el uso de un único panel de control para almacenar credenciales bancarias, pese a usarse hasta tres diferentes familias de malware bancario: Citadel, Tatanga y Feodo. Su objetivo principal era Europa, afectando en gran medida a España y Alemania, pero también a Holanda, Italia y Malta. Además, se hacía uso de diferentes componentes móviles para sistemas Android, BlackBerry y Symbian. En diciembre de 2012 se publicó un informe sobre un "nuevo" malware bancario que había robado más de 36 millones de euros a entidades bancarias europeas. Rápidamente todos los medios hablaron de la noticia, pero realmente este incidente tenía mucho que ver con la botnet Sopelka y no era oro todo lo que relucía, 36 millones de euros eran muchos millones para estos tiempos de crisis.

1 de 79
Sopelka VS Eurograbber Really 36 million EUR?? Jose Miguel Esparza @EternalTodo Mikel Gastesi @mgastesi
¿Y quiénes son estos frikis? • Mikel Gastesi – S21sec Advanced Cybersecurity Services • Jose Miguel Esparza – ex-S21 – Fox-IT Cybercrime
Agenda • Introducción • Botnet Sopelka • Eurograbber • Conclusiones
Introducción • Yet another botnet • Con algunas curiosidades – 3 familias de malware y un mismo panel bancario – Número elevado de infecciones – Acceso a servicios de terceros
Introducción • Yet another botnet • Con algunas curiosidades – 3 familias de malware y un mismo panel bancario – Número elevado de infecciones – Acceso a servicios de terceros • Una botnet cualquiera?
Introducción • Yet another botnet • Con algunas curiosidades – 3 familias de malware y un mismo panel bancario – Número elevado de infecciones – Acceso a servicios de terceros • Una botnet cualquiera? – Eurograbber – 36 millones de euros??!!
¿3 Botnets y 1 panel? WTF??? C&C Config URLs, etc Troyano Inyecciones
¿3 Botnets y 1 panel? WTF??? C&C Config URLs, etc Troyano Inyecciones 2º C&C
Ejemplo 1 – N
Ejemplo 1 – N
Botnet Sopelka - Campañas Campaña Fecha Troyano Path Países Sopelka1 01/05 Citadel /sopelka1/file.php|file=citsp1.exe ES,DE, 30/05 1.3.4.0 /sopelka1/file.php|file=sopelka1_config.bin NL Sopelka2 01/05 Citadel /sopelka2/file.php|file=citsp2.exe ES 30/05 1.3.4.0 /sopelka2/file.php|file=sopelka2_config.bin Tatanga 15/06 Tatanga /sec/g.php IT, ES, 15/07 DE, NL Feodo 15/06 Feodo /zb/v_01_a/in/cp.php ES,NL, 15/07 DE, IT Sopelka3 15/08 Citadel /sopelka3/file.php|file=citsp3.exe ES, DE 24/09 1.3.4.5 /sopelka3/file.php|file=sopelka3_config.bin
Botnet Sopelka – Infección (I) • Exploit Kit: BlackHole
Botnet Sopelka – Infección (II) • SPAM
Botnet Sopelka - Injects • HTML mínimo en el fichero de configuración – Fichero JS en servidor externo – Un fichero por entidad afectada – Descarga mediante fichero PHP • https://dominio.com/dir/get.php/campaignDir/?name =inyeccion.js – Técnica utilizada en las 3 familias de malware – Otra típica de Tatanga • x.php?cmdid=8&gettype=js&id=inyeccion.js&uid=0000
Botnet Sopelka - Injects • Citadel • Tatanga
Botnet Sopelka - Injects • Tatanga no se utilizó hasta Julio, pero si miramos las inyecciones utilizadas por Citadel…
Botnet Sopelka - Injects • 2FA
Botnet Sopelka - MyCoolSMS • Envío de SMS a las víctimas mediante API • Uso de cuenta “Executive” • Tres usuarios conocidos: smshumor/danieliv/hgm
Botnet Sopelka – smshumor • Coincide con las campañas sopelka1/2 (mayo) – De finales de marzo a principios de julio – Marzo y abril contiene tests desde la web – Uso de números virtuales FonYou para pruebas – Después URIs con enlaces a .jad (5.1%) y .apk (94.9%)
Botnet Sopelka – smshumor • “BancoMovil” (99%) como remitente – “SecureInfo” y “MobilBank” • 2407 SMS enviados – 240 €
Botnet Sopelka – danieliv • Coincide con Feodo / Tatanga – Campañas durante julio y agosto – Únicamente .apk (76%) y .jad (24%) otra vez – Envíos a Alemania / Italia / Holanda sobre todo – 574 SMS – 99.8€
Botnet Sopelka - hgm • Activa desde 24-07-2012 – Usada activamente coincidiendo con la campaña sopelka3 (sept) – Envío a números españoles y alemanes – También se ven enlaces a .sis (10%) – “TOCCO”… – Comunicación interna del gang – 1162 SMS • 188€
Botnet Sopelka – Mobile apps • Malware conocido desde 2010 – Android • 19 de julio – BlackBerry • 20 de agosto – Symbian • 9 y 20 de agosto • Mismos números de activación – Números virtuales suecos: • +46769436094 • +46769436073
Botnet Sopelka – Mobile apps • Certificado del .sis  mail
Botnet Sopelka – Mobile apps • Certificado del .sis  mail
Botnet Sopelka – Panel bancario • Unificado • Ruso + Inglés
Botnet Sopelka – Panel bancario • Comandos: Inyecciones
Botnet Sopelka – Panel bancario • Comandos – Server side  No todos implementados • getinfo: info, incluso de transferencias • newdate: avisa de nueva transferencia • has: preguntar al server si la info está en bbdd • getvalue: recuperar datos almacenados, como firma o valor de tarjeta de coordenadas • log: pues eso, log
Botnet Sopelka – Panel bancario • Datos recolectados – Al menos 9000 usuarios de banca afectados – Configuraciones • 60% afecta a entidades españolas • 15% afecta entidades alemanas • 15% italianas • Resto a Holanda y Money Transfers – Inyecciones contra más de 30 entidades • Datos de 5 entidades españolas y 2 alemanas – El directorio campaignDir diferencia campañas.
Botnet Sopelka – Panel bancario • Una BBDD por cada identificador Identificador Fecha de primer uso Fecha de último uso Uso respecto total /decit/ 2012-07-24 2012-09-19 30% /replace_hgsdonf/ 2012-05-04 2012-09-20 27% /fixan/ 2012-05-21 2012-09-06 19% /foxes/ 2012-05-21 2012-07-07 14% /fixit/ 2012-06-26 2012-08-15 5% /denew/ 2012-07-24 2012-09-17 4% /replace_zeus/ 2012-05-05 2012-09-18 0.7% /mex/ 2012-09-04 2012-09-20 0.2% /mes/ 2012-09-04 2012-09-19 0.1% /nor/ - - 0% /gni/ - - 0%
Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
Botnet Sopelka - Infraestructura • Servidores de troyanos – Al menos 30 dominios • Servidores DNS • Servidores panel bancario • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS – Nivel de complejidad++ – Al menos 2 dominios / 4 hosts (Citadel) • Servidores panel bancario • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario – Al menos 8 dominios (proxys) • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario • Servidores de injects – Un dominio • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario • Servidores de injects • Servidores envío SMS – Al menos dos dominios • Proveedores envío/recepción SMS • Servidores componentes móviles
Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles – Al menos 13 dominios
Botnet Sopelka - Infraestructura • Stats dominios Citadel (autumn.kz, wet.kz, advia.kz) – Localización IPs conectando a los dominios (05/09/2012) 2% 1% DE ES CH PT 38% IT HK 59% US NL UK AT JP DK IL EG
Botnet Sopelka - Infraestructura • Stats dominios Citadel – IPs diferentes conectando a advia.kz (05/09/2012) 5000 4500 4000 3500 3000 2500 2000 1500 1000 500 0 DE ES CH PT IT
Botnet Sopelka - Infraestructura • Stats dominios Citadel – IPs diferentes totales (01/09/2012 - 07/09/2012) 14000 12000 10000 8000 6000 4000 2000 0 DE ES CH PT IT
Botnet Sopelka - Infraestructura • Feodo: más de 30.000 infectados – Italia!! • Tatanga: unos 3.000 infectados – Alemanes – Españoles
Botnet Sopelka - Infraestructura • Actualización de binarios (Citadel)
Botnet Sopelka - Infraestructura • Actualización de binarios (Citadel)
Botnet Sopelka - Infraestructura • Actualización de binarios (Citadel) – Robocrypt – Styx
Botnet Sopelka - Infraestructura • Comunicación interna / tests – Números de teléfono móvil • Virtuales – España  FonYou – Suecia  MyCoolSMS – Reino Unido  MyCoolSMS • Tarjetas prepago rusas (Beeline) – MyCoolSMS – SMS2Email – TextMarketer
Botnet Sopelka - Infraestructura • Comunicación interna / tests – Números de teléfono móvil • Virtuales – España  FonYou – Suecia  MyCoolSMS – Reino Unido  MyCoolSMS • Tarjetas prepago rusas (Beeline) – MyCoolSMS – SMS2Email – TextMarketer
Botnet Sopelka - Infraestructura • Comunicación interna / tests – Comunicación en inglés – Datos apuntan a Manchester • Uso del número de envío de SMS (hgm) • Uso de cuenta SMS2Email con IP de Manchester • Datos del dueño de la cuenta – Pero pagos con tarjetas virtuales rusas…
Botnet Sopelka - Resumen • Citadel / Tatanga / Feodo • Desde abril hasta finales de septiembre 2012 • Injects + Mobile component (apk, jad, sis) – Sin transferencia automática • Afectación a 4 países europeos • Gran cantidad de usuarios afectados • Panel bancario en ruso / inglés • Grupo de diferentes nacionalidades(?)
Eurograbber
Eurograbber
Eurograbber
Eurograbber
Eurograbber
Eurograbber
Eurograbber
Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€
Eurograbber • Diferentes familias de malware – ZeuS – SpyEye – Carberp • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€
Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo – Android “…new and very successful – BlackBerry variation of the ZITMO Trojan“ • Bancos europeos • Transferencias entre 200€ y 250.000€
Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos – Italia (16) – España (7) – Alemania (6) – Holanda (3) • Transferencias entre 200€ y 250.000€
Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€
Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€ • 36 millones de euros!!
Eurograbber • Se parece mucho a Sopelka…
Eurograbber • Se parece mucho a Sopelka…
Eurograbber • Diferentes familias de malware – ZeuS Citadel – SpyEye Tatanga / Hermes – Feodo / Bugat / Cridex – Carberp? • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€
Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo Mismo ZitMo que en 2010 – Android “…new and very successful – BlackBerry variation of the ZITMO Trojan“ – Symbian “…Mobile version of Eurograbber Trojan”
Eurograbber • Nuevo ataque ZitMo Mismo ZitMo que en 2010 “…new and very successful variation of the ZITMO Trojan“
Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos – Italia (16) (14) – España (7) (16) – Alemania (6) (3) – Holanda (3) (1) • Transferencias entre 200€ y 250.000€
Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€
Eurograbber • Transferencias entre 200€ y 250.000€
Eurograbber • 36 millones de euros WTF??!!
Eurograbber • 36 millones de euros WTF??!! 2012-07-24 03:50:58 xxxxx_4179183 21.038,54 € 2012-07-23 22:43:56 xxxxx_1370498 14.984,62 € 2012-07-23 14:04:36 xxxxx_2812717 10.112,18 € 2012-07-23 13:45:45 xxxxx_1068462 31.339,07 € 2012-07-22 08:37:09 xxxxx_2887226 2012-07-22 08:23:44 85.602,18 € xxxxx_2629431 223.036,12 € 2012-07-22 02:31:02 xxxxx_1029564 38.506,79 €
Eurograbber • “Once the Eurograbber Trojans are installed on the bank customer’s computer and mobile phone, the malware lays dormant until the next time the customer accesses their bank account. ” • “Immediately upon a bank customer’s login, the cybercriminal initiates Eurograbber’s computer Trojan to start its own transaction to transfer a predefined percentage of money out of the customer’s bank account to a “mule” account owned by the attackers.”
Eurograbber • “…the Eurograbber mobile Trojan intercepts the SMS containing the TAN, hides it from the customer and forwards it to one of many relay phone numbers setup by the attackers. The SMS is then forwarded from the relay phone number to the drop zone where it is stored in the command and control database along with other user information”
Conclusiones • Sopelka es una botnet interesante – 3 familias de malware y un único panel bancario – Gran afectación – Componentes móviles – Comunicación interna • Eurograbber es puro marketing – Con algunos (pocos) adornos técnicos – Ventas/Marketing >>>> Soluciones/Colaboración • Mente crítica y analítica
Agradecimientos • S21sec e-crime • Fox-IT Cybercrime • Shadowserver & Abuse.ch • ING Direct España (Alex!) • …
¿Preguntas?
¡¡Gracias!! Mikel Gastesi Jose Miguel Esparza @mgastesi @EternalTodo

Recomendados

Sopelka VS Eurograbber - Really 36 million EUR?
Sopelka VS Eurograbber - Really 36 million EUR?Sopelka VS Eurograbber - Really 36 million EUR?
Sopelka VS Eurograbber - Really 36 million EUR?Jose Miguel Esparza
 
Atm 581 michael sch world champion tower_dubai
Atm 581 michael sch world champion tower_dubaiAtm 581 michael sch world champion tower_dubai
Atm 581 michael sch world champion tower_dubaiArwa Kadous
 
App storeへ申請に当たって
App storeへ申請に当たってApp storeへ申請に当たって
App storeへ申請に当たってAkira Jing
 
market segmentation exclusively his
market segmentation exclusively hismarket segmentation exclusively his
market segmentation exclusively hisFranklin Ayuson
 
BRF_FRE_2016_v1 (1)
BRF_FRE_2016_v1 (1)BRF_FRE_2016_v1 (1)
BRF_FRE_2016_v1 (1)BRF FOODS S.A BRAZIL
 
Felipe cantor4
Felipe cantor4Felipe cantor4
Felipe cantor4Leonardo Holguin Ospina
 
Tutor virtual (1)
Tutor virtual (1)Tutor virtual (1)
Tutor virtual (1)Havana Cuba
 
The Cochrane Collaboration Colloquium: The Human Genome Epidemiology Network:...
The Cochrane Collaboration Colloquium: The Human Genome Epidemiology Network:...The Cochrane Collaboration Colloquium: The Human Genome Epidemiology Network:...
The Cochrane Collaboration Colloquium: The Human Genome Epidemiology Network:...Cochrane.Collaboration
 

Recomendados

Sopelka VS Eurograbber - Really 36 million EUR?
Sopelka VS Eurograbber - Really 36 million EUR?Sopelka VS Eurograbber - Really 36 million EUR?
Sopelka VS Eurograbber - Really 36 million EUR?Jose Miguel Esparza
 
Atm 581 michael sch world champion tower_dubai
Atm 581 michael sch world champion tower_dubaiAtm 581 michael sch world champion tower_dubai
Atm 581 michael sch world champion tower_dubaiArwa Kadous
 
App storeへ申請に当たって
App storeへ申請に当たってApp storeへ申請に当たって
App storeへ申請に当たってAkira Jing
 
market segmentation exclusively his
market segmentation exclusively hismarket segmentation exclusively his
market segmentation exclusively hisFranklin Ayuson
 
BRF_FRE_2016_v1 (1)
BRF_FRE_2016_v1 (1)BRF_FRE_2016_v1 (1)
BRF_FRE_2016_v1 (1)BRF FOODS S.A BRAZIL
 
Felipe cantor4
Felipe cantor4Felipe cantor4
Felipe cantor4Leonardo Holguin Ospina
 
Tutor virtual (1)
Tutor virtual (1)Tutor virtual (1)
Tutor virtual (1)Havana Cuba
 
The Cochrane Collaboration Colloquium: The Human Genome Epidemiology Network:...
The Cochrane Collaboration Colloquium: The Human Genome Epidemiology Network:...The Cochrane Collaboration Colloquium: The Human Genome Epidemiology Network:...
The Cochrane Collaboration Colloquium: The Human Genome Epidemiology Network:...Cochrane.Collaboration
 
Ta陳佳慶
Ta陳佳慶Ta陳佳慶
Ta陳佳慶felixboy
 
An Introduction to The Cochrane Collaboration
An Introduction to The Cochrane CollaborationAn Introduction to The Cochrane Collaboration
An Introduction to The Cochrane CollaborationCochrane.Collaboration
 
Holland V Digital Photo Journey
Holland V Digital Photo JourneyHolland V Digital Photo Journey
Holland V Digital Photo JourneyEsther Wong
 
Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]
Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]
Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]RootedCON
 
Workshop "Descoberta de Clientes"
Workshop "Descoberta de Clientes"Workshop "Descoberta de Clientes"
Workshop "Descoberta de Clientes"Renato J Cecchettini
 
2008 4C Mantra
2008 4C Mantra2008 4C Mantra
2008 4C MantraEsther Wong
 
_65 LG Opener
_65 LG Opener_65 LG Opener
_65 LG OpenerNitida Samitaksorn
 
Example BIM Validation service with BIMSie
Example BIM Validation service with BIMSieExample BIM Validation service with BIMSie
Example BIM Validation service with BIMSieLéon Berlo
 
Samsonite
SamsoniteSamsonite
SamsoniteProect111
 
Financial analyst
Financial analystFinancial analyst
Financial analystOMMARAMP
 
5 things about BIM you did not know
5 things about BIM you did not know5 things about BIM you did not know
5 things about BIM you did not knowLéon Berlo
 
Tema 1 introducción a los sistemas de información
Tema 1 introducción a los sistemas de informaciónTema 1 introducción a los sistemas de información
Tema 1 introducción a los sistemas de informaciónSamuel
 
Tor
TorTor
Torone13948
 
Introducción a Tor
Introducción a TorIntroducción a Tor
Introducción a TorMauro Parra-Miranda
 
Transmisión
TransmisiónTransmisión
TransmisiónManuel Diaz Delgado
 
Transmisión
TransmisiónTransmisión
TransmisiónManuel Diaz Delgado
 
Intranet por Monono
Intranet por MononoIntranet por Monono
Intranet por MononoSebastian De LaRosa
 
Oferta Cdn Video Iris Telecom Short
Oferta Cdn Video Iris Telecom ShortOferta Cdn Video Iris Telecom Short
Oferta Cdn Video Iris Telecom ShortMartin Ortiz
 
Pract campo
Pract campoPract campo
Pract campoEduardo Segura
 
Redes
RedesRedes
Redesfrancisdelegado
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Taller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboards
Taller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboardsTaller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboards
Taller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboardsSofia2 Smart Platform
 

Más contenido relacionado

Destacado

Ta陳佳慶
Ta陳佳慶Ta陳佳慶
Ta陳佳慶felixboy
 
An Introduction to The Cochrane Collaboration
An Introduction to The Cochrane CollaborationAn Introduction to The Cochrane Collaboration
An Introduction to The Cochrane CollaborationCochrane.Collaboration
 
Holland V Digital Photo Journey
Holland V Digital Photo JourneyHolland V Digital Photo Journey
Holland V Digital Photo JourneyEsther Wong
 
Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]
Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]
Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]RootedCON
 
Example BIM Validation service with BIMSie
Example BIM Validation service with BIMSieExample BIM Validation service with BIMSie
Example BIM Validation service with BIMSieLéon Berlo
 
Financial analyst
Financial analystFinancial analyst
Financial analystOMMARAMP
 
5 things about BIM you did not know
5 things about BIM you did not know5 things about BIM you did not know
5 things about BIM you did not knowLéon Berlo
 

Destacado (11)

Ta陳佳慶
Ta陳佳慶Ta陳佳慶
Ta陳佳慶
 
An Introduction to The Cochrane Collaboration
An Introduction to The Cochrane CollaborationAn Introduction to The Cochrane Collaboration
An Introduction to The Cochrane Collaboration
 
Holland V Digital Photo Journey
Holland V Digital Photo JourneyHolland V Digital Photo Journey
Holland V Digital Photo Journey
 
Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]
Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]
Roberto Baratta - eFraude: ganar gestionando la derrota [Rooted CON 2013]
 
Workshop "Descoberta de Clientes"
Workshop "Descoberta de Clientes"Workshop "Descoberta de Clientes"
Workshop "Descoberta de Clientes"
 
2008 4C Mantra
2008 4C Mantra2008 4C Mantra
2008 4C Mantra
 
_65 LG Opener
_65 LG Opener_65 LG Opener
_65 LG Opener
 
Example BIM Validation service with BIMSie
Example BIM Validation service with BIMSieExample BIM Validation service with BIMSie
Example BIM Validation service with BIMSie
 
Samsonite
SamsoniteSamsonite
Samsonite
 
Financial analyst
Financial analystFinancial analyst
Financial analyst
 
5 things about BIM you did not know
5 things about BIM you did not know5 things about BIM you did not know
5 things about BIM you did not know
 

Similar a José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million EUR? [Rooted CON 2013]

Tema 1 introducción a los sistemas de información
Tema 1 introducción a los sistemas de informaciónTema 1 introducción a los sistemas de información
Tema 1 introducción a los sistemas de informaciónSamuel
 
Oferta Cdn Video Iris Telecom Short
Oferta Cdn Video Iris Telecom ShortOferta Cdn Video Iris Telecom Short
Oferta Cdn Video Iris Telecom ShortMartin Ortiz
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Taller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboards
Taller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboardsTaller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboards
Taller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboardsSofia2 Smart Platform
 
Un gentil viaje al interior de las extorsiones mediante DDoS
Un gentil viaje al interior de las extorsiones mediante DDoSUn gentil viaje al interior de las extorsiones mediante DDoS
Un gentil viaje al interior de las extorsiones mediante DDoSDavid Barroso
 
David Barroso - Un gentil viaje al interior de las extorsiones mediante DDoS ...
David Barroso - Un gentil viaje al interior de las extorsiones mediante DDoS ...David Barroso - Un gentil viaje al interior de las extorsiones mediante DDoS ...
David Barroso - Un gentil viaje al interior de las extorsiones mediante DDoS ...RootedCON
 
IPTV desde el punto de vista del software
IPTV desde el punto de vista del softwareIPTV desde el punto de vista del software
IPTV desde el punto de vista del softwareAvanet
 
Analisis de PONENCIA_LOGITEK_JAI2010.pdf
Analisis de PONENCIA_LOGITEK_JAI2010.pdfAnalisis de PONENCIA_LOGITEK_JAI2010.pdf
Analisis de PONENCIA_LOGITEK_JAI2010.pdfAngelFrancisco59
 
Helpdesk apoyo tecnico iglesias
Helpdesk apoyo tecnico iglesiasHelpdesk apoyo tecnico iglesias
Helpdesk apoyo tecnico iglesiasIglesias3
 
Help desk - Iglesias mesa de apoyo tecnico
Help desk - Iglesias mesa de apoyo tecnicoHelp desk - Iglesias mesa de apoyo tecnico
Help desk - Iglesias mesa de apoyo tecnicoIglesias3
 

Similar a José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million EUR? [Rooted CON 2013] (20)

Tema 1 introducción a los sistemas de información
Tema 1 introducción a los sistemas de informaciónTema 1 introducción a los sistemas de información
Tema 1 introducción a los sistemas de información
 
Tor
TorTor
Tor
 
Introducción a Tor
Introducción a TorIntroducción a Tor
Introducción a Tor
 
Transmisión
TransmisiónTransmisión
Transmisión
 
Transmisión
TransmisiónTransmisión
Transmisión
 
Intranet por Monono
Intranet por MononoIntranet por Monono
Intranet por Monono
 
Oferta Cdn Video Iris Telecom Short
Oferta Cdn Video Iris Telecom ShortOferta Cdn Video Iris Telecom Short
Oferta Cdn Video Iris Telecom Short
 
Pract campo
Pract campoPract campo
Pract campo
 
Redes
RedesRedes
Redes
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Taller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboards
Taller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboardsTaller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboards
Taller IoT: desarrollo visual en Sofia2 con Raspberry Pi, Node-RED y dashboards
 
Un gentil viaje al interior de las extorsiones mediante DDoS
Un gentil viaje al interior de las extorsiones mediante DDoSUn gentil viaje al interior de las extorsiones mediante DDoS
Un gentil viaje al interior de las extorsiones mediante DDoS
 
David Barroso - Un gentil viaje al interior de las extorsiones mediante DDoS ...
David Barroso - Un gentil viaje al interior de las extorsiones mediante DDoS ...David Barroso - Un gentil viaje al interior de las extorsiones mediante DDoS ...
David Barroso - Un gentil viaje al interior de las extorsiones mediante DDoS ...
 
IPTV desde el punto de vista del software
IPTV desde el punto de vista del softwareIPTV desde el punto de vista del software
IPTV desde el punto de vista del software
 
Analisis de PONENCIA_LOGITEK_JAI2010.pdf
Analisis de PONENCIA_LOGITEK_JAI2010.pdfAnalisis de PONENCIA_LOGITEK_JAI2010.pdf
Analisis de PONENCIA_LOGITEK_JAI2010.pdf
 
Helpdesk apoyo tecnico iglesias
Helpdesk apoyo tecnico iglesiasHelpdesk apoyo tecnico iglesias
Helpdesk apoyo tecnico iglesias
 
Help desk - Iglesias mesa de apoyo tecnico
Help desk - Iglesias mesa de apoyo tecnicoHelp desk - Iglesias mesa de apoyo tecnico
Help desk - Iglesias mesa de apoyo tecnico
 
computadores
computadorescomputadores
computadores
 
PC
PCPC
PC
 
DoS En La Ciberguerra
DoS En La CiberguerraDoS En La Ciberguerra
DoS En La Ciberguerra
 

Más de RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 

Más de RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 

José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million EUR? [Rooted CON 2013]

  • 1. Sopelka VS Eurograbber Really 36 million EUR?? Jose Miguel Esparza @EternalTodo Mikel Gastesi @mgastesi
  • 2. ¿Y quiénes son estos frikis? • Mikel Gastesi – S21sec Advanced Cybersecurity Services • Jose Miguel Esparza – ex-S21 – Fox-IT Cybercrime
  • 3. Agenda • Introducción • Botnet Sopelka • Eurograbber • Conclusiones
  • 4. Introducción • Yet another botnet • Con algunas curiosidades – 3 familias de malware y un mismo panel bancario – Número elevado de infecciones – Acceso a servicios de terceros
  • 5. Introducción • Yet another botnet • Con algunas curiosidades – 3 familias de malware y un mismo panel bancario – Número elevado de infecciones – Acceso a servicios de terceros • Una botnet cualquiera?
  • 6. Introducción • Yet another botnet • Con algunas curiosidades – 3 familias de malware y un mismo panel bancario – Número elevado de infecciones – Acceso a servicios de terceros • Una botnet cualquiera? – Eurograbber – 36 millones de euros??!!
  • 7. ¿3 Botnets y 1 panel? WTF??? C&C Config URLs, etc Troyano Inyecciones
  • 8. ¿3 Botnets y 1 panel? WTF??? C&C Config URLs, etc Troyano Inyecciones 2º C&C
  • 11. Botnet Sopelka - Campañas Campaña Fecha Troyano Path Países Sopelka1 01/05 Citadel /sopelka1/file.php|file=citsp1.exe ES,DE, 30/05 1.3.4.0 /sopelka1/file.php|file=sopelka1_config.bin NL Sopelka2 01/05 Citadel /sopelka2/file.php|file=citsp2.exe ES 30/05 1.3.4.0 /sopelka2/file.php|file=sopelka2_config.bin Tatanga 15/06 Tatanga /sec/g.php IT, ES, 15/07 DE, NL Feodo 15/06 Feodo /zb/v_01_a/in/cp.php ES,NL, 15/07 DE, IT Sopelka3 15/08 Citadel /sopelka3/file.php|file=citsp3.exe ES, DE 24/09 1.3.4.5 /sopelka3/file.php|file=sopelka3_config.bin
  • 12. Botnet Sopelka – Infección (I) • Exploit Kit: BlackHole
  • 13. Botnet Sopelka – Infección (II) • SPAM
  • 14. Botnet Sopelka - Injects • HTML mínimo en el fichero de configuración – Fichero JS en servidor externo – Un fichero por entidad afectada – Descarga mediante fichero PHP • https://dominio.com/dir/get.php/campaignDir/?name =inyeccion.js – Técnica utilizada en las 3 familias de malware – Otra típica de Tatanga • x.php?cmdid=8&gettype=js&id=inyeccion.js&uid=0000
  • 15. Botnet Sopelka - Injects • Citadel • Tatanga
  • 16. Botnet Sopelka - Injects • Tatanga no se utilizó hasta Julio, pero si miramos las inyecciones utilizadas por Citadel…
  • 17. Botnet Sopelka - Injects • 2FA
  • 18. Botnet Sopelka - MyCoolSMS • Envío de SMS a las víctimas mediante API • Uso de cuenta “Executive” • Tres usuarios conocidos: smshumor/danieliv/hgm
  • 19. Botnet Sopelka – smshumor • Coincide con las campañas sopelka1/2 (mayo) – De finales de marzo a principios de julio – Marzo y abril contiene tests desde la web – Uso de números virtuales FonYou para pruebas – Después URIs con enlaces a .jad (5.1%) y .apk (94.9%)
  • 20. Botnet Sopelka – smshumor • “BancoMovil” (99%) como remitente – “SecureInfo” y “MobilBank” • 2407 SMS enviados – 240 €
  • 21. Botnet Sopelka – danieliv • Coincide con Feodo / Tatanga – Campañas durante julio y agosto – Únicamente .apk (76%) y .jad (24%) otra vez – Envíos a Alemania / Italia / Holanda sobre todo – 574 SMS – 99.8€
  • 22. Botnet Sopelka - hgm • Activa desde 24-07-2012 – Usada activamente coincidiendo con la campaña sopelka3 (sept) – Envío a números españoles y alemanes – También se ven enlaces a .sis (10%) – “TOCCO”… – Comunicación interna del gang – 1162 SMS • 188€
  • 23. Botnet Sopelka – Mobile apps • Malware conocido desde 2010 – Android • 19 de julio – BlackBerry • 20 de agosto – Symbian • 9 y 20 de agosto • Mismos números de activación – Números virtuales suecos: • +46769436094 • +46769436073
  • 24. Botnet Sopelka – Mobile apps • Certificado del .sis  mail
  • 25. Botnet Sopelka – Mobile apps • Certificado del .sis  mail
  • 26. Botnet Sopelka – Panel bancario • Unificado • Ruso + Inglés
  • 27. Botnet Sopelka – Panel bancario • Comandos: Inyecciones
  • 28. Botnet Sopelka – Panel bancario • Comandos – Server side  No todos implementados • getinfo: info, incluso de transferencias • newdate: avisa de nueva transferencia • has: preguntar al server si la info está en bbdd • getvalue: recuperar datos almacenados, como firma o valor de tarjeta de coordenadas • log: pues eso, log
  • 29. Botnet Sopelka – Panel bancario • Datos recolectados – Al menos 9000 usuarios de banca afectados – Configuraciones • 60% afecta a entidades españolas • 15% afecta entidades alemanas • 15% italianas • Resto a Holanda y Money Transfers – Inyecciones contra más de 30 entidades • Datos de 5 entidades españolas y 2 alemanas – El directorio campaignDir diferencia campañas.
  • 30. Botnet Sopelka – Panel bancario • Una BBDD por cada identificador Identificador Fecha de primer uso Fecha de último uso Uso respecto total /decit/ 2012-07-24 2012-09-19 30% /replace_hgsdonf/ 2012-05-04 2012-09-20 27% /fixan/ 2012-05-21 2012-09-06 19% /foxes/ 2012-05-21 2012-07-07 14% /fixit/ 2012-06-26 2012-08-15 5% /denew/ 2012-07-24 2012-09-17 4% /replace_zeus/ 2012-05-05 2012-09-18 0.7% /mex/ 2012-09-04 2012-09-20 0.2% /mes/ 2012-09-04 2012-09-19 0.1% /nor/ - - 0% /gni/ - - 0%
  • 31. Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
  • 32. Botnet Sopelka - Infraestructura • Servidores de troyanos – Al menos 30 dominios • Servidores DNS • Servidores panel bancario • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
  • 33. Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS – Nivel de complejidad++ – Al menos 2 dominios / 4 hosts (Citadel) • Servidores panel bancario • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
  • 34. Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario – Al menos 8 dominios (proxys) • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
  • 35. Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario • Servidores de injects – Un dominio • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
  • 36. Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario • Servidores de injects • Servidores envío SMS – Al menos dos dominios • Proveedores envío/recepción SMS • Servidores componentes móviles
  • 37. Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles
  • 38. Botnet Sopelka - Infraestructura • Servidores de troyanos • Servidores DNS • Servidores panel bancario • Servidores de injects • Servidores envío SMS • Proveedores envío/recepción SMS • Servidores componentes móviles – Al menos 13 dominios
  • 39. Botnet Sopelka - Infraestructura • Stats dominios Citadel (autumn.kz, wet.kz, advia.kz) – Localización IPs conectando a los dominios (05/09/2012) 2% 1% DE ES CH PT 38% IT HK 59% US NL UK AT JP DK IL EG
  • 40. Botnet Sopelka - Infraestructura • Stats dominios Citadel – IPs diferentes conectando a advia.kz (05/09/2012) 5000 4500 4000 3500 3000 2500 2000 1500 1000 500 0 DE ES CH PT IT
  • 41. Botnet Sopelka - Infraestructura • Stats dominios Citadel – IPs diferentes totales (01/09/2012 - 07/09/2012) 14000 12000 10000 8000 6000 4000 2000 0 DE ES CH PT IT
  • 42. Botnet Sopelka - Infraestructura • Feodo: más de 30.000 infectados – Italia!! • Tatanga: unos 3.000 infectados – Alemanes – Españoles
  • 43. Botnet Sopelka - Infraestructura • Actualización de binarios (Citadel)
  • 44. Botnet Sopelka - Infraestructura • Actualización de binarios (Citadel)
  • 45. Botnet Sopelka - Infraestructura • Actualización de binarios (Citadel) – Robocrypt – Styx
  • 46. Botnet Sopelka - Infraestructura • Comunicación interna / tests – Números de teléfono móvil • Virtuales – España  FonYou – Suecia  MyCoolSMS – Reino Unido  MyCoolSMS • Tarjetas prepago rusas (Beeline) – MyCoolSMS – SMS2Email – TextMarketer
  • 47.
  • 48. Botnet Sopelka - Infraestructura • Comunicación interna / tests – Números de teléfono móvil • Virtuales – España  FonYou – Suecia  MyCoolSMS – Reino Unido  MyCoolSMS • Tarjetas prepago rusas (Beeline) – MyCoolSMS – SMS2Email – TextMarketer
  • 49. Botnet Sopelka - Infraestructura • Comunicación interna / tests – Comunicación en inglés – Datos apuntan a Manchester • Uso del número de envío de SMS (hgm) • Uso de cuenta SMS2Email con IP de Manchester • Datos del dueño de la cuenta – Pero pagos con tarjetas virtuales rusas…
  • 50. Botnet Sopelka - Resumen • Citadel / Tatanga / Feodo • Desde abril hasta finales de septiembre 2012 • Injects + Mobile component (apk, jad, sis) – Sin transferencia automática • Afectación a 4 países europeos • Gran cantidad de usuarios afectados • Panel bancario en ruso / inglés • Grupo de diferentes nacionalidades(?)
  • 58. Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€
  • 59. Eurograbber • Diferentes familias de malware – ZeuS – SpyEye – Carberp • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€
  • 60. Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo – Android “…new and very successful – BlackBerry variation of the ZITMO Trojan“ • Bancos europeos • Transferencias entre 200€ y 250.000€
  • 61. Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos – Italia (16) – España (7) – Alemania (6) – Holanda (3) • Transferencias entre 200€ y 250.000€
  • 62. Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€
  • 63. Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€ • 36 millones de euros!!
  • 64. Eurograbber • Se parece mucho a Sopelka…
  • 65. Eurograbber • Se parece mucho a Sopelka…
  • 66. Eurograbber • Diferentes familias de malware – ZeuS Citadel – SpyEye Tatanga / Hermes – Feodo / Bugat / Cridex – Carberp? • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€
  • 67. Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo Mismo ZitMo que en 2010 – Android “…new and very successful – BlackBerry variation of the ZITMO Trojan“ – Symbian “…Mobile version of Eurograbber Trojan”
  • 68. Eurograbber • Nuevo ataque ZitMo Mismo ZitMo que en 2010 “…new and very successful variation of the ZITMO Trojan“
  • 69. Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos – Italia (16) (14) – España (7) (16) – Alemania (6) (3) – Holanda (3) (1) • Transferencias entre 200€ y 250.000€
  • 70. Eurograbber • Diferentes familias de malware • Nuevo ataque ZitMo • Bancos europeos • Transferencias entre 200€ y 250.000€
  • 72. Eurograbber • 36 millones de euros WTF??!!
  • 73. Eurograbber • 36 millones de euros WTF??!! 2012-07-24 03:50:58 xxxxx_4179183 21.038,54 € 2012-07-23 22:43:56 xxxxx_1370498 14.984,62 € 2012-07-23 14:04:36 xxxxx_2812717 10.112,18 € 2012-07-23 13:45:45 xxxxx_1068462 31.339,07 € 2012-07-22 08:37:09 xxxxx_2887226 2012-07-22 08:23:44 85.602,18 € xxxxx_2629431 223.036,12 € 2012-07-22 02:31:02 xxxxx_1029564 38.506,79 €
  • 74. Eurograbber • “Once the Eurograbber Trojans are installed on the bank customer’s computer and mobile phone, the malware lays dormant until the next time the customer accesses their bank account. ” • “Immediately upon a bank customer’s login, the cybercriminal initiates Eurograbber’s computer Trojan to start its own transaction to transfer a predefined percentage of money out of the customer’s bank account to a “mule” account owned by the attackers.”
  • 75. Eurograbber • “…the Eurograbber mobile Trojan intercepts the SMS containing the TAN, hides it from the customer and forwards it to one of many relay phone numbers setup by the attackers. The SMS is then forwarded from the relay phone number to the drop zone where it is stored in the command and control database along with other user information”
  • 76. Conclusiones • Sopelka es una botnet interesante – 3 familias de malware y un único panel bancario – Gran afectación – Componentes móviles – Comunicación interna • Eurograbber es puro marketing – Con algunos (pocos) adornos técnicos – Ventas/Marketing >>>> Soluciones/Colaboración • Mente crítica y analítica
  • 77. Agradecimientos • S21sec e-crime • Fox-IT Cybercrime • Shadowserver & Abuse.ch • ING Direct España (Alex!) • …
  • 79. ¡¡Gracias!! Mikel Gastesi Jose Miguel Esparza @mgastesi @EternalTodo