Les chercheurs en cybersécurité ont signalé une nouvelle campagne de logiciels malveillants qui infecte les systèmes Windows avec une instance virtuelle Linux contenant une porte dérobée capable d’établir un accès à distance aux hôtes compromis.
La campagne « intrigante », nom de code CRON#TRAPcommence par un fichier de raccourci Windows (LNK) malveillant probablement distribué sous la forme d’une archive ZIP via un e-mail de phishing.
« Ce qui rend la campagne CRON#TRAP particulièrement préoccupante, c’est que l’instance Linux émulée est préconfigurée avec une porte dérobée qui se connecte automatiquement à un serveur de commande et de contrôle (C2) contrôlé par l’attaquant », ont déclaré les chercheurs de Securonix Den Iuzvyk et Tim Peck. dit dans une analyse.
« Cette configuration permet à l’attaquant de maintenir une présence furtive sur la machine de la victime, en organisant d’autres activités malveillantes dans un environnement dissimulé, ce qui rend la détection difficile pour les solutions antivirus traditionnelles. »
Les messages de phishing prétendent être une « enquête OneAmerica » accompagnée d’une grande archive ZIP de 285 Mo qui, une fois ouverte, déclenche le processus d’infection.
Dans le cadre de la campagne d’attaque encore non attribuée, le fichier LNK sert de canal pour extraire et lancer un environnement Linux léger et personnalisé émulé via Quick Emulator (QEMU), un outil de virtualisation légitime et open source. La machine virtuelle fonctionne sur Tiny Core Linux.
Le raccourci lance ensuite les commandes PowerShell chargées de réextraire le fichier ZIP et d’exécuter un script caché « start.bat », qui, à son tour, affiche un faux message d’erreur à la victime pour lui donner l’impression que le lien de l’enquête n’est plus disponible. fonctionnement.
Mais en arrière-plan, il configure l’environnement Linux virtuel QEMU appelé PivotBox, qui est préchargé avec l’utilitaire de tunneling Chisel, accordant un accès à distance à l’hôte immédiatement après le démarrage de l’instance QEMU.
« Le binaire semble être un client Chisel préconfiguré conçu pour se connecter à un serveur de commande et de contrôle (C2) distant à l’adresse 18.208.230.[.]174 via des websockets », ont déclaré les chercheurs. « L’approche des attaquants transforme efficacement ce client Chisel en une porte dérobée complète, permettant au trafic de commande et de contrôle à distance d’entrer et de sortir de l’environnement Linux. »
Ce développement est l’une des nombreuses tactiques en constante évolution que les acteurs malveillants utilisent pour cibler les organisations et dissimuler les activités malveillantes. Un exemple concret est une campagne de spear phishing qui a été observée ciblant des entreprises de fabrication, d’ingénierie et industrielles électroniques dans les pays européens. livrer le malware évasif GuLoader.
« Les e-mails incluent généralement des demandes de commandes et contiennent une pièce jointe d’archive », Tara Gould, chercheuse chez Cado Security. dit. « Les e-mails sont envoyés à partir de diverses adresses e-mail, notamment de fausses entreprises et de comptes compromis. Les e-mails détournent généralement un fil de discussion existant ou demandent des informations sur une commande. »
L’activité, qui a principalement ciblé des pays comme la Roumanie, la Pologne, l’Allemagne et le Kazakhstan, commence par un fichier batch présent dans le fichier d’archive. Le fichier batch intègre un script PowerShell obscurci qui télécharge ensuite un autre script PowerShell à partir d’un serveur distant.
Le script PowerShell secondaire inclut des fonctionnalités permettant d’allouer de la mémoire et finalement d’exécuter le shellcode GuLoader pour finalement récupérer la charge utile de l’étape suivante.
« Le malware Guloader continue d’adapter ses techniques pour échapper à la détection et délivrer des RAT », a déclaré Gould. « Les acteurs malveillants ciblent continuellement des industries spécifiques dans certains pays. Leur résilience met en évidence la nécessité de mesures de sécurité proactives. »