Instituto Nacional de ciberseguridad. Sección Incibe

Orcus

¿Qué es?

Orcus, también conocido como Orcus RAT y Schnorchel, es un malware de tipo troyano de acceso remoto (RAT) que se enfoca en infectar dispositivos Windows para controlarlos remotamente y realizar actividades maliciosas. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

  • Permite a los atacantes el control remoto mediante la ejecución de comandos y la gestión completa del sistema infectado.
  • Facilita el robo de información confidencial, como credenciales de inicio de sesión, contraseñas y datos financieros almacenados en el dispositivo afectado.
  • Registra las pulsaciones del teclado (keylogging), lo que permite capturar información sensible introducida por el usuario, como contraseñas y datos bancarios.
  • Habilita el espionaje mediante la activación remota de la cámara web y el micrófono del sistema afectado, sin que el usuario lo detecte.
  • Permite las capturas de pantalla para obtener información visual sobre la actividad del usuario en tiempo real.
  • Amplía sus capacidades maliciosas al cargar e instalar complementos personalizados diseñados por los atacantes.
  • Descarga e instala otros programas maliciosos en el sistema infectado para convertirlo en una plataforma para la distribución de malware adicional.
  • Monitorea y manipula los procesos en ejecución para garantizar su persistencia y evitar la detección por parte de herramientas de seguridad.
  • Accede al portapapeles del usuario para extraer información sensible, como contraseñas o direcciones de criptomonedas, y manipularlo si es necesario.
  • Utiliza los sistemas infectados para lanzar ataques de denegación de servicio distribuidos (DDoS) contra otros objetivos.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de enlaces de descarga de software comprometido y a través de la explotación de vulnerabilidades en sistemas con configuraciones inseguras o programas sin actualizar.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

Compartir en Redes Sociales