Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Troyano bancario Osiris realiza nuevas campañas

  • Publicado: 08/02/2021
  • Importancia: Alta

Recursos afectados

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña del troyano bancario Osiris dirigida en principio a compañías ubicadas en Alemania. El vector de infección se realiza mediante mensajes de correo electrónico tipo malspam que contiene un vínculo para acceder a un sitio web comprometido. Al acceder a la página, se inicia la correspondiente descarga de un archivo .zip malicioso donde se almacena un archivo JavaScript.

El troyano bancario Osiris apareció en el año 2018 y su objetivo consiste en el hurto de credenciales y datos sensibles, mediante la utilización de inyección de sitios web, implementación de keylogger para registrar las pulsaciones del teclado. Una vez recopilada la información, la amenaza cibernética cifra el tráfico hacia redes Tor, las cuales actúan como servidor C2 y hacia donde exfiltra los datos.

La cadena de infección por el troyano se realiza mediante la ejecución del archivo JavaScript con código ofuscado, que realiza la descarga de un JavaScript encargado de ejecutar persistencia en el equipo infectado y se encarga de ejecutar por medio de PowerShell, un script desarrollado en .NET, que se carga en la memoria del sistema en lugar de hacerlo desde el disco. En seguida, el código .NET decodifica y ejecuta un segundo script de .NET, encargado de inyectar el código malicioso Osiris dentro de un proceso legítimo del sistema operativo.

Finalmente, en el momento que entra en operación Osiris establece conexión con un servidor comando y control C2, por medio de un componente de Tor para comunicarse.

Hasta el momento, la descarga y la comunicación de la cadena de infección se encuentra disponible sobre una dirección IP publicada en Alemania. Además, se han identificado otros países objetivo como Estados Unidos y Corea, los cuales recibieron el ransomware REvil entre otras cargas útiles, mediante el mismo mecanismo de infección anteriormente descrito.

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas