Aunque parecía que
los usuarios ya no tenían el mismo interés, en los últimos meses el valor de
las criptomonedas ha tenido un incremento, lo que ha provocado que el interés
vuelva a los usuarios. ¿Solo a los usuarios? No, también a los
ciberdelincuentes. Expertos en seguridad han detectado una amenaza conocida con
el nombre Orcus que está infectando los equipos para robar las criptomonedas de
los monederos existentes.
El proceso comienza
con un correo electrónico phishing, tal y como sucede en la mayoría de los
casos. En el cuerpo se habla de un nuevo software para realizar el minado y
llevar a cabo la gestión de las monedas. El nombre es Gunbot y está
desarrollado por GuntherLab, o al menos, eso se indica en el correo. Pero la realidad
es muy diferente. Cuando el usuario accede al enlace para que comience la
descarga, lo que en realidad se guardará en el equipo es el instalador de
Orcus, la amenaza que nos ocupa.
Expertos en seguridad
han encontrado situaciones en las que en el propio correo se adjunta un archivo
comprimido que contiene un script en VisualBasic programado para realizar la
descarga de una aplicación camuflada en forma de JPEG. Varias empresas de
seguridad han realizado el análisis del ataque, indicando que los ciberdelincuentes
no se han esforzado mucho por ocultar sus pretensiones.
Detalles sobre Orcus
Una vez realizada la
descarga, el ejecutable realiza la instalación de una herramienta open-source
que permite realizar inventarios de un equipo a nivel de sistema operativo.
¿Inofensiva? No. Su código ha sido modificado para realizar la descifrado de un
código .NET adjunto que se cargará directamente en memoria. Esta utilidad posee
el punto a favor de cargar módulos en memoria que pasan totalmente inadvertidos
de cara a las herramientas en seguridad.
Ni que decir tiene,
que el ataque está focalizado sobre equipos con sistema operativo Windows.
Una vez inicializados
todos los módulos de Orcus, la persona que está en el otro extremo posee el
control total sobre el equipo y la información que se está introduciendo.
Funciones de Orcus
Se trata de un RAT,
es decir, un troyano que permite el acceso remoto al dispositivo. Expertos en
seguridad han realizado un amplio análisis de la amenaza. Permite al atacante
ejecutar comandos con los privilegios de la cuenta que se esté utilizando en el
sistema. Cuenta con la función de keylogger, para tobar la información
introducida a través del teclado. Otra función que ha llamado la atención es la
posibilidad de desactivar el LED de la cámara web.
Otra función
disponible es la utilización del equipo para llevar a cabo ataques de
denegación de servicio. Incluso se ha detectado que es capaz de modificar la
configuración proxy de los navegadores web del sistema para redirigir al
usuario a páginas web falsas.
Los equipos infectados están controlados
desde un servidor único.
Expertos en seguridad
instan a los usuarios a extremar las precauciones a la hora de descargar
contenidos, sobre todo, porque en el caso Orcus, la actividad de la amenaza no
es detecta por las herramientas de seguridad, ya que se trata de un software
legítimo que ha sido modificado.
Fuente: Security Week