Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El nuevo malware CRON#TRAP infecta Windows ocultándose en una máquina virtual Linux para evadir el antivirus
  • Tecnología

El nuevo malware CRON#TRAP infecta Windows ocultándose en una máquina virtual Linux para evadir el antivirus

teknomers 8 de Kasım de 2024 (Last updated: 8 de Kasım de 2024) 4 minutes read
El nuevo malware CRON#TRAP infecta Windows ocultándose en una máquina


08 de noviembre de 2024Ravie LakshmananMalware/Virtualización

Los investigadores de ciberseguridad han detectado una nueva campaña de malware que infecta los sistemas Windows con una instancia virtual de Linux que contiene una puerta trasera capaz de establecer acceso remoto a los hosts comprometidos.

La campaña “intrigante”, cuyo nombre en código CRON#TRAMPAcomienza con un archivo malicioso de acceso directo de Windows (LNK) probablemente distribuido en forma de archivo ZIP a través de un correo electrónico de phishing.

“Lo que hace que la campaña CRON#TRAP sea particularmente preocupante es que la instancia emulada de Linux viene preconfigurada con una puerta trasera que se conecta automáticamente a un servidor de comando y control (C2) controlado por el atacante”, dijeron los investigadores de Securonix Den Iuzvyk y Tim Peck. dicho en un análisis.

Ciberseguridad

“Esta configuración permite al atacante mantener una presencia sigilosa en la máquina de la víctima, organizando más actividades maliciosas dentro de un entorno oculto, lo que dificulta la detección para las soluciones antivirus tradicionales”.

Los mensajes de phishing pretenden ser una “encuesta de OneAmerica” ​​que viene con un gran archivo ZIP de 285 MB que, cuando se abre, desencadena el proceso de infección.

Como parte de la campaña de ataque aún no atribuida, el archivo LNK sirve como conducto para extraer e iniciar un entorno Linux ligero y personalizado emulado a través de Quick Emulator (QEMU), una herramienta de virtualización legítima de código abierto. La máquina virtual se ejecuta en Tiny Core Linux.

Máquina virtual Linux maliciosa

Posteriormente, el acceso directo inicia comandos de PowerShell responsables de volver a extraer el archivo ZIP y ejecutar un script oculto “start.bat”, que, a su vez, muestra un mensaje de error falso a la víctima para darle la impresión de que el enlace de la encuesta ya no existe. laboral.

Pero en segundo plano, configura el entorno virtual Linux de QEMU denominado PivotBox, que viene precargado con la utilidad de túnel Chisel, que otorga acceso remoto al host inmediatamente después del inicio de la instancia de QEMU.

“El binario parece ser un cliente Chisel preconfigurado diseñado para conectarse a un servidor de comando y control (C2) remoto en 18.208.230[.]174 a través de websockets”, dijeron los investigadores. “El enfoque de los atacantes transforma efectivamente este cliente Chisel en una puerta trasera completa, permitiendo que el tráfico de comando y control remoto fluya dentro y fuera del entorno Linux”.

Máquina virtual Linux maliciosa

El desarrollo es una de las muchas tácticas en constante evolución que los actores de amenazas están utilizando para apuntar a organizaciones y ocultar actividades maliciosas; un ejemplo de ello es una campaña de phishing lanzada que se ha observado dirigida a empresas industriales, de ingeniería y de fabricación electrónica en países europeos para entregar el evasivo malware GuLoader.

“Los correos electrónicos suelen incluir consultas sobre pedidos y contienen un archivo adjunto”, dijo Tara Gould, investigadora de Cado Security. dicho. “Los correos electrónicos se envían desde varias direcciones de correo electrónico, incluidas empresas falsas y cuentas comprometidas. Los correos electrónicos generalmente secuestran un hilo de correo electrónico existente o solicitan información sobre un pedido”.

Ciberseguridad

La actividad, que se ha dirigido principalmente a países como Rumania, Polonia, Alemania y Kazajstán, comienza con un archivo por lotes presente en el archivo comprimido. El archivo por lotes incorpora un script de PowerShell ofuscado que posteriormente descarga otro script de PowerShell desde un servidor remoto.

El script secundario de PowerShell incluye funcionalidad para asignar memoria y, en última instancia, ejecutar el código shell GuLoader para finalmente recuperar la carga útil de la siguiente etapa.

“El malware Guloader continúa adaptando sus técnicas para evadir la detección y entregar RAT”, dijo Gould. “Los actores de amenazas apuntan continuamente a industrias específicas en ciertos países. Su resiliencia resalta la necesidad de medidas de seguridad proactivas”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Supermercado cerrado tras encontrar una muerte en la entrada
Next: Un comienzo de noviembre soleado: ¿seguirá así?

Related Stories

Ariane 6 se prepara para volar más lejos que nunca
  • Tecnología

Ariane 6 se prepara para volar más lejos que nunca con un nuevo satélite meteorológico muy esperado en Europa y África.

teknomers 14 de Temmuz de 2026
iOS 27 beta pública: Siri AI ausente en Europa
  • Tecnología

iOS 27 beta pública: Siri AI ausente en Europa

teknomers 14 de Temmuz de 2026
Samsung Health: rechazar la IA que elimina tus datos en
  • Tecnología

Samsung Health: rechazar la IA que elimina tus datos en la nube

teknomers 14 de Temmuz de 2026

You May Have Missed

  • Deporte

Cuestionario de Teknomers: ¿Quién soy? Adivina al futbolista estrella de la Copa del Mundo #37

teknomers 14 de Temmuz de 2026
  • General

El estanque del Lincoln Memorial en Washington, querido por Donald Trump, vaciado para ser reparado

teknomers 14 de Temmuz de 2026
  • General

Cita del día de Stephen King: ‘La esperanza es algo bueno, tal vez lo mejor de las cosas, y no hay nada…’ – Recordatorio del autor de ‘The Shining’ de que la luz puede sobrevivir incluso en la oscuridad.

teknomers 14 de Temmuz de 2026
  • Deporte

Francia-España: récord en vista para M 6 que espera la mayor audiencia del año

teknomers 14 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.