Orcus, un RAT que tiene como objetivo los propietarios de Bitcoins

Share this…

Aunque parecía que los usuarios ya no tenían el mismo interés, en los últimos meses el valor de las criptomonedas ha tenido un incremento, lo que ha provocado que el interés vuelva a los usuarios. ¿Solo a los usuarios? No, también a los ciberdelincuentes. Expertos en seguridad han detectado una amenaza conocida con el nombre Orcus que está infectando los equipos para robar las criptomonedas de los monederos existentes.

El proceso comienza con un correo electrónico phishing, tal y como sucede en la mayoría de los casos. En el cuerpo se habla de un nuevo software para realizar el minado y llevar a cabo la gestión de las monedas. El nombre es Gunbot y está desarrollado por GuntherLab, o al menos, eso se indica en el correo. Pero la realidad es muy diferente. Cuando el usuario accede al enlace para que comience la descarga, lo que en realidad se guardará en el equipo es el instalador de Orcus, la amenaza que nos ocupa.

Expertos en seguridad han encontrado situaciones en las que en el propio correo se adjunta un archivo comprimido que contiene un script en VisualBasic programado para realizar la descarga de una aplicación camuflada en forma de JPEG. Varias empresas de seguridad han realizado el análisis del ataque, indicando que los ciberdelincuentes no se han esforzado mucho por ocultar sus pretensiones.

Detalles sobre Orcus

Una vez realizada la descarga, el ejecutable realiza la instalación de una herramienta open-source que permite realizar inventarios de un equipo a nivel de sistema operativo. ¿Inofensiva? No. Su código ha sido modificado para realizar la descifrado de un código .NET adjunto que se cargará directamente en memoria. Esta utilidad posee el punto a favor de cargar módulos en memoria que pasan totalmente inadvertidos de cara a las herramientas en seguridad.

Ni que decir tiene, que el ataque está focalizado sobre equipos con sistema operativo Windows.

Una vez inicializados todos los módulos de Orcus, la persona que está en el otro extremo posee el control total sobre el equipo y la información que se está introduciendo.

Funciones de Orcus

Se trata de un RAT, es decir, un troyano que permite el acceso remoto al dispositivo. Expertos en seguridad han realizado un amplio análisis de la amenaza. Permite al atacante ejecutar comandos con los privilegios de la cuenta que se esté utilizando en el sistema. Cuenta con la función de keylogger, para tobar la información introducida a través del teclado. Otra función que ha llamado la atención es la posibilidad de desactivar el LED de la cámara web.

Otra función disponible es la utilización del equipo para llevar a cabo ataques de denegación de servicio. Incluso se ha detectado que es capaz de modificar la configuración proxy de los navegadores web del sistema para redirigir al usuario a páginas web falsas.

Los equipos infectados están controlados desde un servidor único.

Expertos en seguridad instan a los usuarios a extremar las precauciones a la hora de descargar contenidos, sobre todo, porque en el caso Orcus, la actividad de la amenaza no es detecta por las herramientas de seguridad, ya que se trata de un software legítimo que ha sido modificado.

Fuente:https://www.redeszone.net/2017/12/11/orcus-rat-objetivo-los-propietarios-bitcoins/