Clicky

Malware infecta Windows ocultándose en una máquina virtual Linux para evadir el antivirus

CRON#TRAP

Con nombre en código CRON#TRAP, probablemente es distribuido en forma de archivo ZIP

Investigadores de ciberseguridad han detectado una nueva campaña de malware que infecta los sistemas Windows con una instancia virtual de Linux que contiene una puerta trasera capaz de establecer acceso remoto a los hosts comprometidos.

La "intrigante" campaña, cuyo nombre en código es CRON#TRAP, comienza con un archivo malicioso de acceso directo de Windows (LNK) probablemente distribuido en forma de archivo ZIP a través de un correo electrónico de phishing.

"Lo que hace que la campaña CRON#TRAP sea particularmente preocupante es que la instancia de Linux emulada viene preconfigurada con una puerta trasera que se conecta automáticamente a un servidor de comando y control (C2) controlado por el atacante", dijeron en un análisis los investigadores de Securonix Den Iuzvyk y Tim Peck.

"Esta configuración permite al atacante mantener una presencia sigilosa en la máquina de la víctima, organizando más actividad maliciosa dentro de un entorno oculto, lo que dificulta la detección para las soluciones antivirus tradicionales".

Los mensajes de phishing pretenden ser una "encuesta de OneAmerica" ​​que viene con un gran archivo ZIP de 285 MB que, cuando se abre, desencadena el proceso de infección.

Como parte de la campaña de ataque, que aún no ha sido atribuida, el archivo LNK sirve como conducto para extraer e iniciar un entorno Linux ligero y personalizado emulado a través de Quick Emulator (QEMU), una herramienta de virtualización legítima y de código abierto. La máquina virtual se ejecuta en Tiny Core Linux.

Posteriormente, el acceso directo lanza comandos de PowerShell responsables de volver a extraer el archivo ZIP y ejecutar un script "start.bat" oculto, que, a su vez, muestra un falso mensaje de error a la víctima para darle la impresión de que el enlace de la encuesta ya no funciona.

Pero en segundo plano, configura el entorno virtual Linux QEMU denominado PivotBox, que viene precargado con la utilidad de tunelización Chisel, que otorga acceso remoto al host inmediatamente después del inicio de la instancia QEMU.

"El binario parece ser un cliente Chisel preconfigurado diseñado para conectarse a un servidor remoto de Comando y Control (C2) en 18.208.230[.]174 a través de websockets", dijeron los investigadores. "El enfoque de los atacantes transforma efectivamente a este cliente Chisel en una puerta trasera completa, permitiendo que el tráfico de comando y control remoto fluya dentro y fuera del entorno Linux".

Jesus_Caceres