Orchard

¿Qué es?

Orchard es una botnet que genera nombres de dominio aleatorios (DGA) para ocultar su infraestructura de mando y control (C2), distribuye programas maliciosos y los instala y ejecuta en los dispositivos sin el consentimiento del usuario. Además, proporciona una puerta trasera a los atacantes para realizar otras actividades no legítimas.

¿Qué hace?

Esta botnet tiene como función principal instalar malware en los dispositivos de sus víctimas para realizar diferentes acciones bajo su control. Además, en sus tres versiones, realiza las siguientes acciones:

Utiliza tecnología DGA para codificar los dominios de mando y control y protegerse de bloqueos.
Realiza conexiones con otros sitios maliciosos e intenta descargar otros programas maliciosos.
Accede y roba la información del dispositivo.
Infecta a los dispositivos de almacenamiento USB para continuar su expansión.
Descarga y ejecuta un paquete de programas que recibe el nombre de XMRig para acuñar criptomonedas tipo Monero (sólo en su versión 3).

Otros nombres/Alias o relaciones

Orchard también es conocido como Antavmu y se conoce su relación con XMRig y otros programas para la minería de criptomonedas, así como con diferentes programas maliciosos. Igualmente, algunos nombres dados por los principales sistemas de detección para esta amenaza son:

Win32:TrojanX-gen [Trj]
trojan.injectorx/erur
Trojan.GenericKDZ.92693
Trojan:Win32/Wacatac.B!ml
Trojan.Win32.ANTAVMU.A

Sistemas afectados

Los principales dispositivos afectados son:

Sistemas con Microsoft Windows.

¿Cómo me infecta?

Esta botnet se distribuye con malware que infecta a los dispositivos mediante la descarga de documentos legítimos suplantados en Internet o enviados como adjunto en correos electrónico y mediante la instalación de software pirateado y anuncios maliciosos en línea.