Osiris, troyano bancario con múltiples opciones

Osiris es una versión modernizada del veterano troyano bancario Kronos, el cual estuvo años inactivo hasta que resucitó con otro nombre para atacar sobre todo a usuarios de Windows ubicados en Polonia, Alemania y Japón durante este último verano.

Por un lado, Osiris incluye muchas de las caracterí­sticas comunes de los troyanos bancarios, como la utilización de inyecciones web G/P/L estilo Zeus, un keylogger para registrar las pulsaciones del teclado y una servidor VNC, aunque también presenta algunas peculiaridades, como el cifrado del tráfico para pasarlo por la red Tor hacia el servidor de mando y control. Para ello, la carga maliciosa activa múltiples procesos y conecta a distintos nodos de Tor ubicados en diferentes paí­ses. Además, también incluye una técnica de suplantación bastante innovadora, los cual dificulta su detección.

Picture2.png

El principal medio de esparcimiento utilizado por las persona tras Osiris es el spam mediante email, estando incrustado en documentos de Microsoft Word o RTF especí­ficamente diseñados con macros o contenido OLE, los cuales tienen código malicioso en VisualBasic ofuscado para soltar el malware y ejecutarlo. En otros muchos casos el malware es distribuido usando kits de exploits como RIG EK.

El documento malicioso explota un fallo de desbordamiento de buffer bien conocido de Microsoft Office, concretamente en el Componente Editor de Ecuaciones (CVE-2017-11882), permitiendo a un hacker llevar a cabo una ejecución de código arbitrario sobre la máquina objetivo. El Componente Editor de Ecuaciones fue implementado de forma que no soporta la Prevención de Ejecución de Datos (DEP) ni ASLR, lo que facilita la instalación de la última versión de Osiris.

Como objetivos, Osiris comparte los que son comunes entre los troyanos bancarios, intentando robar credenciales y otros datos sensibles, con especial mención a aquellos que permitan acceder a las cuentas bancarias con el fin de poder robar dinero. Como primer recurso para conseguir los datos sensibles realiza un ataque a nivel del navegador web para inyectar un script malicioso en sitios web de bancos y poder obtener así­ los datos desde los formularios.

La última versión de Osiris destaca por la adopción de una arquitectura más modular, permitiendo a los actores maliciosos que están detrás suministrar actualizaciones y plugins con el fin de mejorar su comportamiento o bien dotarlos de nuevas caracterí­sticas frente a su comportamiento inicial.

Al ser un malware que se vende en el mercado negro, es importante tener en cuenta su precio. Kronos se vendí­a en 2014 al precio de 3.000 dólares, mientras que Osiris en 2018 tiene un precio de 2.000 dólares. Además, el último malware también está en modo reventa por 1.000 dólares, lo que puede impulsar su utilización y difusión.


Fuente: blog.segu-info.com.ar

Compartir: