Windows infectado com VMs Linux
5 de Novembro de 2024

Uma nova campanha de phishing denominada 'CRON#TRAP' infecta Windows com uma máquina virtual Linux que contém um backdoor embutido, concedendo acesso discreto a redes corporativas.

O uso de máquinas virtuais para conduzir ataques não é novidade, com gangues de ransomware e criptomineradores as utilizando para realizar atividades maliciosas de forma furtiva.

Contudo, os agentes de ameaças comumente instalam essas máquinas manualmente depois de invadirem uma rede.

Uma nova campanha identificada pelos pesquisadores da Securonix está utilizando e-mails de phishing para realizar instalações automáticas de máquinas virtuais Linux para invadir e ganhar persistência em redes corporativas.

Os e-mails de phishing se passam por uma “pesquisa da OneAmerica” e incluem um grande arquivo ZIP de 285MB para instalar uma VM Linux com um backdoor pré-instalado.

Esse arquivo ZIP contém um atalho do Windows chamado "Pesquisa OneAmerica.lnk" e uma pasta "data" que contém a aplicação de máquina virtual QEMU, com o executável principal disfarçado como fontdiag.exe.

Quando o atalho é iniciado, ele executa um comando PowerShell para extrair o arquivo baixado para a pasta "%UserProfile%\datax" e, em seguida, lança o "start.bat" para configurar e lançar uma máquina virtual Linux QEMU personalizada no dispositivo.

Enquanto a máquina virtual está sendo instalada, o mesmo arquivo em lote exibe um arquivo PNG baixado de um site remoto que mostra um falso erro de servidor como um engodo, insinuando um link quebrado para a pesquisa.

A VM Linux TinyCore personalizada, chamada 'PivotBox', é pré-carregada com um backdoor que garante comunicação persistente de C2, permitindo que os atacantes operem em segundo plano.

Como o QEMU é uma ferramenta legítima que também é digitalmente assinada, o Windows não emite nenhum alarme sobre sua execução, e as ferramentas de segurança não conseguem examinar quais programas maliciosos estão sendo executados dentro da máquina virtual.

No coração do backdoor está uma ferramenta chamada Chisel, um programa de túnel de rede pré-configurado para criar canais de comunicação segura com um servidor de comando e controle (C2) específico via WebSockets.

O Chisel tuneliza dados através de HTTP e SSH, permitindo que os atacantes se comuniquem com o backdoor no host comprometido, mesmo se uma firewall proteger a rede.

Para persistência, o ambiente QEMU é configurado para iniciar automaticamente após o host ser reiniciado através de modificações no 'bootlocal.sh'.

Ao mesmo tempo, chaves SSH são geradas e enviadas para evitar a necessidade de reautenticação.

A Securonix destaca dois comandos, especificamente 'get-host-shell' e 'get-host-user'.

O primeiro cria um shell interativo no host, permitindo a execução de comandos, enquanto o segundo é usado para determinar os privilégios.

Os comandos que podem ser executados incluem ações de vigilância, gestão de rede e payload, gestão de arquivos e operações de exfiltração de dados, dando aos atacantes um conjunto versátil que lhes permite se adaptar ao alvo e realizar ações prejudiciais.

A campanha CRON#TRAP não é a primeira ocorrência de hackers abusando do QEMU para estabelecer comunicações discretas com seu servidor C2.

Em março de 2024, a Kaspersky relatou outra campanha onde os atores de ameaças usaram o QEMU para criar interfaces de rede virtuais e um dispositivo de rede tipo socket para se conectar a um servidor remoto.

Nesse caso, um backdoor muito leve escondido dentro de uma máquina virtual Kali Linux funcionando com apenas 1MB de RAM foi usado para estabelecer um túnel de comunicações secreto.

Para detectar e bloquear esses ataques, considere colocar monitores para processos como 'qemu.exe' executados a partir de pastas acessíveis a usuários, colocar o QEMU e outras suítes de virtualização em uma lista de bloqueio e desabilitar ou bloquear a virtualização em geral em dispositivos críticos através do BIOS do sistema.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...