Pesquisadores de cibersegurança alertaram sobre uma nova campanha de malware que infecta sistemas Windows com uma instância virtual Linux contendo um backdoor capaz de estabelecer acesso remoto aos hosts comprometidos.
A campanha "intrigante", batizada de CRON#TRAP, começa com um arquivo de atalho malicioso do Windows (LNK), provavelmente distribuído na forma de um arquivo ZIP por meio de um e-mail de phishing.
"O que torna a campanha CRON#TRAP particularmente preocupante é que a instância Linux emulada vem pré-configurada com um backdoor que automaticamente se conecta a um servidor de comando e controle (C2) controlado por atacantes", disseram os pesquisadores da Securonix, Den Iuzvyk e Tim Peck, em uma análise.
Esse setup permite ao atacante manter uma presença discreta na máquina da vítima, encenando atividades maliciosas adicionais dentro de um ambiente oculto, tornando a detecção desafiadora para soluções de antivírus tradicionais.
As mensagens de phishing alegam ser uma "pesquisa da OneAmerica" que vem com um grande arquivo ZIP de 285 MB que, ao ser aberto, desencadeia o processo de infecção.
Como parte da campanha de ataque ainda não atribuída, o arquivo LNK serve como um conduíte para extrair e iniciar um ambiente Linux customizado e leve, emulado através do Quick Emulator (QEMU), uma ferramenta de virtualização de código aberto e legítima.
A máquina virtual roda no Tiny Core Linux.
O atalho, em seguida, inicia comandos do PowerShell responsáveis por re-extrair o arquivo ZIP e executar um script oculto "start.bat", que, por sua vez, exibe uma mensagem de erro falsa à vítima para dar a impressão de que o link da pesquisa não está mais funcionando.
Mas, em segundo plano, configura o ambiente virtual Linux QEMU, referido como PivotBox, que vem pré-carregado com a utilidade de tunelamento Chisel, concedendo acesso remoto ao host imediatamente após a inicialização da instância QEMU.
"O binário parece ser um cliente Chisel pré-configurado projetado para se conectar a um servidor remoto de Comando e Controle (C2) em 18.208.230[.]174 via websockets", disseram os pesquisadores.
A abordagem dos atacantes transforma efetivamente esse cliente Chisel em um backdoor completo, possibilitando o tráfego de comando e controle remoto entrar e sair do ambiente Linux.
O desenvolvimento é um dos muitos táticas constantemente evoluindo que atores de ameaças estão usando para mirar organizações e ocultar atividades maliciosas -- um exemplo é uma campanha de spear-phishing que tem sido observada visando empresas de manufatura eletrônica, engenharia e industriais em países europeus para entregar o malware GuLoader evasivo.
Os e-mails normalmente incluem consultas de pedidos e contêm um arquivo anexado em arquivo, disse a pesquisadora de segurança do Cado, Tara Gould.
Os e-mails são enviados de vários endereços de e-mail, incluindo de empresas falsas e contas comprometidas. Os e-mails geralmente sequestram uma cadeia de e-mails existente ou solicitam informações sobre um pedido.
A atividade, que tem como alvo principal países como Romênia, Polônia, Alemanha e Cazaquistão, começa com um arquivo batch presente dentro do arquivo.
O arquivo batch incorpora um script do PowerShell ofuscado que, subsequentemente, baixa outro script do PowerShell de um servidor remoto.
O segundo script do PowerShell inclui funcionalidade para alocar memória e, por fim, executar o shellcode do GuLoader para, finalmente, buscar o payload da próxima fase.
"O malware GuLoader continua adaptando suas técnicas para evitar detecção para entregar RATs", disse Gould.
Atores de ameaças continuam visando indústrias específicas em certos países.
Sua resiliência destaca a necessidade de medidas de segurança proativas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...