Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Campaña mundial contra entidades gubernamentales y financieras con los RAT Orcus y Revenge.

  • Publicado: 04/09/2019
  • Importancia: Media

Recursos afectados

El equipo de CSIRT ha dividido el proceso de esta campaña en varias etapas para su análisis, las cuales se relacionan a continuación:

* Fase de propagación o Primera Etapa:

Esta primera etapa es la inicial, en la que se intenta vulnerar una víctima para la posterior propagación de la carga final.

El vector de amenaza se trata de un correo electrónico phishing, el cual contiene un enlace encargado de redirigir a la víctima a una URL alojada en un servidor controlado por el atacante.

Este servidor aloja un fichero contiene un fichero .ZIP que es descargado de manera automática en el equipo de la víctima que haya visitado la URL.

* Fase de explotación o Segunda etapa:

Para que comience esta etapa del ataque debe existir una interacción por parte del usuario víctima, es decir, este usuario debe descomprimir el fichero malicioso y ejecutarlo en su máquina.

Una vez ejecutado, este fichero realiza la función de dropper, dejando caer en el equipo el malware Orcus RAT de manera que sea complicada su detección. Esto lo consigue inyectando el malware en otra instancia del proceso del ejecutable inicial y reiniciándolo. Gracias a esto el archivo original de Orcus RAT nunca se escribe en el disco, ya que se ejecuta en la memoria principal utilizando el proceso del fichero inicial.

Este es un breve resumen realizado por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected].

Etiquetas