Botnet Sopelka: tres troyanos bancarios y un sólo panel

La botnet Sopelka empezó a gestarse en mayo de este año y su actividad cesó a finales del mes pasado. Tiene el nombre Sopelka debido al path usado en la distribución de binarios y archivos de configuración, y era una curiosa mezcla de variantes de los conocidos troyanos bancarios Tatanga, Feodo y Citadel. El objetivo de esta botnet era la recolección de credenciales bancarias de entidades europeas, afectando en gran medida a España y Alemania, pero también a Holanda, Italia y Malta. Además, se hacía uso de diferentes componentes móviles para teléfonos Android, BlackBerry, y también Symbian, el primer sistema operativo detectado con este tipo de componente malicioso, hace ya más de dos años.
Durante el tiempo de actividad de la botnet se realizaron por lo menos cinco campañas, aunque seguramente se hubieran realizado más. De estas cinco campañas tres de ellas instalaban variantes de Citadel (versiones 1.3.4.0 y 1.3.4.5), otra, Feodo, y en la restante fue Tatanga el troyano elegido. Todas las campañas de Citadel llevaban la palabra “sopelka” (un tipo de flauta, en ruso) en su path de descarga, tanto de binarios como de archivos de configuración, pero no así en el caso de Tatanga y Feodo.

Las inyecciones HTML únicamente incluían el código necesario para referenciar a un archivo Javascript ubicado en un servidor externo. En el servidor se guardaba un archivo como mínimo por cada entidad, habiendo en algunos casos dos o tres. De esta forma, los criminales podían modificar a su antojo el contenido y las inyecciones del archivo sin necesidad de crear y distribuir un nuevo archivo de configuración a todos sus bots. Además, el archivo de inyección no se encontraba en un archivo accesible como podría ser el siguiente ejemplo:

https://dominio.com/dir/inyeccion.js

sino que se hacía uso de un archivo PHP para controlar y servir el código Javascript con una URL de la siguiente forma:

https://dominio.com/dir/get.php/campaignDir/?name=inyeccion.js

La relación del uso de Tatanga, Feodo y Citadel por parte del mismo grupo de ciberdelincuentes se hace porque en todos los archivos de configuración se podían encontrar el mismo formato de URL para obtener el código externo, usaban el archivo get.php y el mismo path. De hecho, todos ellos enviaban las credenciales bancarias a un único panel de control, distinto del panel de cada troyano, y que recolectaba únicamente credenciales bancarias.

Además, también se detectó otro tipo de URL para obtener el código Javascript externo y que está relacionada con Tatanga desde sus inicios, así como la cadena “tatangakatanga”:

https://dominio.com/dir/x.php?cmdid=8&gettype=js&id=inyeccion.js&uid=0000

Esto es debido a que, inicialmente, cuando apareció el troyano Tatanga, se usaba una URL con similar formato y que contenía la palabra “tatangakatanga”, que fue lo que dio nombre a este nuevo código malicioso bancario:

Investigadores de seguridad de Shadowserver y Abuse.ch realizaron un sinkhole de algunos de los dominios específicos de Citadel (autumn.kz, wet.kz, advia.kz), cediendo para esta investigación estadísticas sobre las peticiones que les llegaban de equipos infectados.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: