Investigadores de ciberseguridad han informado de una nueva campaña de malware que infecta sistemas Windows con una instancia virtual de Linux que contiene una puerta trasera capaz de establecer acceso remoto a hosts comprometidos.
La campaña “intrigante”, nombre en clave CRON#TRAMPAcomienza con un archivo malicioso de acceso directo de Windows (LNK) probablemente distribuido como un archivo ZIP a través de un correo electrónico de phishing.
“Lo que hace que la campaña CRON#TRAP sea particularmente preocupante es que la instancia emulada de Linux está preconfigurada con una puerta trasera que se conecta automáticamente a un servidor de comando y control (C2) controlado por el atacante”, dijeron los investigadores de Securonix Den Iuzvyk y. Tim Peck. dicho en un análisis.
“Esta configuración permite al atacante mantener una presencia sigilosa en la máquina de la víctima, organizando otras actividades maliciosas en un entorno oculto, lo que dificulta la detección de las soluciones antivirus tradicionales”.
Los mensajes de phishing afirman ser una “encuesta de OneAmerica” acompañada de un gran archivo ZIP de 285 MB que, cuando se abre, desencadena el proceso de infección.
Como parte de la campaña de ataque aún no atribuida, el archivo LNK sirve como conducto para extraer y lanzar un entorno Linux ligero y personalizado emulado a través de Quick Emulator (QEMU), una herramienta de virtualización legítima de código abierto. La máquina virtual se ejecuta en Tiny Core Linux.
Luego, el acceso directo inicia los comandos de PowerShell responsables de volver a extraer el archivo ZIP y ejecutar un script oculto “start.bat”, que, a su vez, muestra un mensaje de error falso a la víctima para hacerle pensar que el enlace de la encuesta ya no está disponible. . marcha.
Pero detrás de escena, configura el entorno virtual Linux de QEMU llamado PivotBox, que viene precargado con la utilidad de túnel Chisel, que otorga acceso remoto al host inmediatamente después de que se inicia la instancia de QEMU.
“El binario parece ser un cliente Chisel preconfigurado diseñado para conectarse a un servidor de comando y control remoto (C2) en la dirección 18.208.230.[.]174 a través de websockets”, dijeron los investigadores. “El enfoque de los atacantes convierte efectivamente a este cliente Chisel en una puerta trasera completa, permitiendo que el tráfico de comando y control remoto entre y salga del entorno Linux”.
Este desarrollo es una de las muchas tácticas en evolución que los malos actores están utilizando para atacar a las organizaciones y ocultar actividades maliciosas. Un ejemplo típico es una campaña de phishing dirigida a empresas industriales, de ingeniería y de fabricación electrónica en países europeos. entregar el evasivo malware GuLoader.
“Los correos electrónicos suelen incluir solicitudes de pedido y contienen un archivo adjunto”, Tara Gould, investigadora de Cado Security. dicho. “Los correos electrónicos se envían desde una variedad de direcciones de correo electrónico, incluidas empresas falsas y cuentas comprometidas. Los correos electrónicos generalmente secuestran un hilo de correo electrónico existente o solicitan información sobre un pedido”.
La actividad, que se centró principalmente en países como Rumania, Polonia, Alemania y Kazajstán, comienza con un archivo por lotes presente en el archivo de almacenamiento. El archivo por lotes incorpora un script de PowerShell ofuscado que luego descarga otro script de PowerShell desde un servidor remoto.
El script secundario de PowerShell incluye funcionalidad para asignar memoria y, en última instancia, ejecutar el código shell GuLoader para finalmente recuperar la carga útil del siguiente paso.
“El malware Guloader continúa adaptando sus técnicas para evadir la detección y entregar RAT”, dijo Gould. “Los actores maliciosos atacan continuamente a industrias específicas en determinados países. Su resiliencia pone de relieve la necesidad de medidas de seguridad proactivas. »