Los investigadores de ciberseguridad han detectado una nueva campa\u00f1a de malware que infecta los sistemas Windows con una instancia virtual de Linux que contiene una puerta trasera capaz de establecer acceso remoto a los hosts comprometidos.<\/p>\n
La campa\u00f1a “intrigante”, cuyo nombre en c\u00f3digo CRON#TRAMPA<\/b>comienza con un archivo malicioso de acceso directo de Windows (LNK) probablemente distribuido en forma de archivo ZIP a trav\u00e9s de un correo electr\u00f3nico de phishing.<\/p>\n
“Lo que hace que la campa\u00f1a CRON#TRAP sea particularmente preocupante es que la instancia emulada de Linux viene preconfigurada con una puerta trasera que se conecta autom\u00e1ticamente a un servidor de comando y control (C2) controlado por el atacante”, dijeron los investigadores de Securonix Den Iuzvyk y Tim Peck. dicho<\/a> en un an\u00e1lisis.<\/p>\n “Esta configuraci\u00f3n permite al atacante mantener una presencia sigilosa en la m\u00e1quina de la v\u00edctima, organizando m\u00e1s actividades maliciosas dentro de un entorno oculto, lo que dificulta la detecci\u00f3n para las soluciones antivirus tradicionales”.<\/p>\n Los mensajes de phishing pretenden ser una “encuesta de OneAmerica” \u200b\u200bque viene con un gran archivo ZIP de 285 MB que, cuando se abre, desencadena el proceso de infecci\u00f3n.<\/p>\n Como parte de la campa\u00f1a de ataque a\u00fan no atribuida, el archivo LNK sirve como conducto para extraer e iniciar un entorno Linux ligero y personalizado emulado a trav\u00e9s de Quick Emulator (QEMU), una herramienta de virtualizaci\u00f3n leg\u00edtima de c\u00f3digo abierto. La m\u00e1quina virtual se ejecuta en Tiny Core Linux.<\/p>\n Posteriormente, el acceso directo inicia comandos de PowerShell responsables de volver a extraer el archivo ZIP y ejecutar un script oculto “start.bat”, que, a su vez, muestra un mensaje de error falso a la v\u00edctima para darle la impresi\u00f3n de que el enlace de la encuesta ya no existe. laboral.<\/p>\n Pero en segundo plano, configura el entorno virtual Linux de QEMU denominado PivotBox, que viene precargado con la utilidad de t\u00fanel Chisel, que otorga acceso remoto al host inmediatamente despu\u00e9s del inicio de la instancia de QEMU.<\/p>\n “El binario parece ser un cliente Chisel preconfigurado dise\u00f1ado para conectarse a un servidor de comando y control (C2) remoto en 18.208.230[.]174 a trav\u00e9s de websockets”, dijeron los investigadores. “El enfoque de los atacantes transforma efectivamente este cliente Chisel en una puerta trasera completa, permitiendo que el tr\u00e1fico de comando y control remoto fluya dentro y fuera del entorno Linux”.<\/p>\n El desarrollo es una de las muchas t\u00e1cticas en constante evoluci\u00f3n que los actores de amenazas est\u00e1n utilizando para apuntar a organizaciones y ocultar actividades maliciosas; un ejemplo de ello es una campa\u00f1a de phishing lanzada que se ha observado dirigida a empresas industriales, de ingenier\u00eda y de fabricaci\u00f3n electr\u00f3nica en pa\u00edses europeos para entregar el evasivo malware GuLoader.<\/p>\n “Los correos electr\u00f3nicos suelen incluir consultas sobre pedidos y contienen un archivo adjunto”, dijo Tara Gould, investigadora de Cado Security. dicho<\/a>. “Los correos electr\u00f3nicos se env\u00edan desde varias direcciones de correo electr\u00f3nico, incluidas empresas falsas y cuentas comprometidas. Los correos electr\u00f3nicos generalmente secuestran un hilo de correo electr\u00f3nico existente o solicitan informaci\u00f3n sobre un pedido”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/El-nuevo-malware-CRONTRAP-infecta-Windows-ocultandose-en-una-maquina.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n