Investigadores de ciberseguridad han descubierto una campaña de malware que compromete sistemas Windows mediante una máquina virtual Linux. Esta instancia incluye una puerta trasera que permite acceso remoto a los sistemas infectados.

“La intrigante campaña, llamada CRON#TRAP, comienza con un archivo de acceso directo de Windows (LNK) malicioso, posiblemente distribuido en un archivo ZIP a través de un correo electrónico de phishing.

‘Lo que hace que la campaña CRON#TRAP sea especialmente alarmante es que la instancia de Linux emulada ya está configurada con una puerta trasera que se conecta automáticamente a un servidor de comando y control (C2) controlado por el atacante’, explicaron los investigadores de Securonix, Den Iuzvyk y Tim Peck, en su análisis. ‘Esta configuración permite al atacante mantener una presencia sigilosa en la máquina de la víctima, facilitando actividades maliciosas adicionales dentro de un entorno oculto y dificultando la detección para los antivirus tradicionales’.

Los correos de phishing se hacen pasar por una ‘encuesta de OneAmerica’ y contienen un archivo ZIP de 285 MB que, al abrirse, desencadena el proceso de infección.

Como parte de esta campaña aún sin identificar, el archivo LNK actúa como un conducto para extraer e iniciar un entorno Linux emulado, ligero y personalizado, mediante Quick Emulator (QEMU), una herramienta de virtualización legítima y de código abierto. La máquina virtual se ejecuta en Tiny Core Linux.”

“Después, el acceso directo ejecuta comandos de PowerShell que extraen nuevamente el archivo ZIP y ejecutan un script oculto llamado ‘start.bat’. Este script muestra un mensaje de error falso a la víctima, simulando que el enlace de la encuesta ya no está disponible.

Sin embargo, en segundo plano, configura un entorno virtual Linux QEMU llamado PivotBox, que viene precargado con la herramienta de tunelización Chisel, la cual permite acceso remoto al host tan pronto como se inicia la instancia de QEMU.

‘El binario parece ser un cliente Chisel preconfigurado para conectarse a un servidor remoto de Comando y Control (C2) en 18.208.230[.]174 usando websockets’, explicaron los investigadores. ‘La estrategia de los atacantes convierte efectivamente este cliente Chisel en una puerta trasera completa, permitiendo que el tráfico de comando y control pase libremente hacia y desde el entorno Linux’.”

El desarrollo es una de las muchas tácticas en constante evolución que los actores de amenazas están utilizando para atacar a las organizaciones y ocultar actividades maliciosas; un claro ejemplo es una campaña de phishing que se ha observado dirigida a empresas industriales, de ingeniería y de fabricación electrónica en países europeos para entregar el evasivo malware GuLoader .

“Los correos electrónicos suelen incluir consultas sobre pedidos y contienen un archivo adjunto”, dijo la investigadora de seguridad de Cado, Tara Gould . “Los correos electrónicos se envían desde varias direcciones de correo electrónico, incluidas empresas falsas y cuentas comprometidas. Los correos electrónicos suelen secuestrar un hilo de correo electrónico existente o solicitar información sobre un pedido”.

Fuente: thehackernews.com