Aunque parecía que los usuarios ya no tenían el mismo interés, en los últimos meses el valor de las criptomonedas ha tenido un incremento, lo que ha provocado que el interés vuelva a los usuarios. ¿Solo a los usuarios? No, también a los ciberdelincuentes. Expertos en seguridad han detectado una amenaza conocida con el nombre Orcus que está infectando los equipos para robar las criptomonedas de los monederos existentes.
El proceso comienza con un correo electrónico phishing, tal y como sucede en la mayoría de los casos. En el cuerpo se habla de un nuevo software para realizar el minado y llevar a cabo la gestión de las monedas. El nombre es Gunbot y está desarrollado por GuntherLab, o al menos, eso se indica en el correo. Pero la realidad es muy diferente. Cuando el usuario accede al enlace para que comience la descarga, lo que en realidad se guardará en el equipo es el instalador de Orcus, la amenaza que nos ocupa.
Expertos en seguridad han encontrado situaciones en las que en el propio correo se adjunta un archivo comprimido que contiene un script en VisualBasic programado para realizar la descarga de una aplicación camuflada en forma de JPEG. Varias empresas de seguridad han realizado el análisis del ataque, indicando que los ciberdelincuentes no se han esforzado mucho por ocultar sus pretensiones.
Detalles sobre Orcus
Una vez realizada la descarga, el ejecutable realiza la instalación de una herramienta open-source que permite realizar inventarios de un equipo a nivel de sistema operativo. ¿Inofensiva? No. Su código ha sido modificado para realizar la descifrado de un código .NET adjunto que se cargará directamente en memoria. Esta utilidad posee el punto a favor de cargar módulos en memoria que pasan totalmente inadvertidos de cara a las herramientas en seguridad.
Ni que decir tiene, que el ataque está focalizado sobre equipos con sistema operativo Windows.
Una vez inicializados todos los módulos de Orcus, la persona que está en el otro extremo posee el control total sobre el equipo y la información que se está introduciendo.
Funciones de Orcus
Se trata de un RAT, es decir, un troyano que permite el acceso remoto al dispositivo. Expertos en seguridad han realizado un amplio análisis de la amenaza. Permite al atacante ejecutar comandos con los privilegios de la cuenta que se esté utilizando en el sistema. Cuenta con la función de keylogger, para tobar la información introducida a través del teclado. Otra función que ha llamado la atención es la posibilidad de desactivar el LED de la cámara web.
Otra función disponible es la utilización del equipo para llevar a cabo ataques de denegación de servicio. Incluso se ha detectado que es capaz de modificar la configuración proxy de los navegadores web del sistema para redirigir al usuario a páginas web falsas.
Los equipos infectados están controlados desde un servidor único.
Expertos en seguridad instan a los usuarios a extremar las precauciones a la hora de descargar contenidos, sobre todo, porque en el caso Orcus, la actividad de la amenaza no es detecta por las herramientas de seguridad, ya que se trata de un software legítimo que ha sido modificado.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
