Pesquisadores de segurança cibernética sinalizaram uma nova campanha de malware que se infiltra em sistemas Windows por meio de uma instância virtual do Linux que contém um backdoor capaz de estabelecer acesso remoto a hosts vulneráveis.
É uma campanha “envolvente”, com codinome CRON#TRAPcomeça com um arquivo malicioso de atalho do Windows (LNK) que pode ser distribuído na forma de um arquivo ZIP por meio de um e-mail de phishing.
“O que torna a campanha CRON#TRAP particularmente vulnerável é que a instância simulada do Linux vem pré-configurada com um backdoor que se conecta automaticamente a um servidor controlado pelo invasor (C2)”, disseram os pesquisadores da Securonix Den Iuzvyk e Tim Peck. em análise.
“Esta configuração permite que um invasor mantenha uma presença oculta na máquina da vítima e execute outras atividades maliciosas em um ambiente oculto, tornando difícil encontrar soluções antivírus convencionais”.
As mensagens de phishing pretendem ser “pesquisas OneAmerica” que vêm com um grande arquivo ZIP de 285 MB que, quando aberto, aciona o processo de infecção.
Como parte de uma campanha de ataque não revelada, o arquivo LNK serve como meio de extrair e inicializar um ambiente Linux leve e personalizado feito com Quick Emulator (QEMU), uma ferramenta oficial de código aberto. A máquina virtual roda em Tiny Core Linux.
O interceptador então lança comandos do PowerShell responsáveis por extrair novamente o arquivo ZIP e usar um script “start.bat” oculto, que, por sua vez, exibe uma falsa mensagem de erro para a vítima para dar a impressão de que o link da pesquisa não é mais o mesmo. para trabalhar.
Mas nos bastidores, ele configura um ambiente Linux virtual QEMU chamado PivotBox, que vem pré-carregado com o utilitário Chisel Tunnel, que fornece acesso remoto ao host imediatamente após a inicialização da instância QEMU.
“O binário parece ser um cliente Chisel pré-configurado projetado para se conectar a um servidor remoto de Comando e Controle (C2) em 18.208.230[.]174 via websockets”, disseram os pesquisadores. “O método dos invasores efetivamente transforma esse cliente Chisel em um backdoor completo, permitindo comando remoto e controle de tráfego para entrar e sair do ambiente Linux.”
O desenvolvimento é uma das tácticas em constante evolução que os agentes de ameaças utilizam para atingir organizações e ocultar actividades maliciosas – por exemplo, uma campanha de phishing que foi observada visando empresas electrónicas, de engenharia e industriais em países europeus. enviar o malware GuLoader.
“Os e-mails geralmente incluem consultas de pedidos e contêm anexos de um arquivo de backup”, diz Tara Gould, pesquisadora da Cado Security. “Os e-mails são enviados de vários endereços de e-mail, inclusive de empresas falsas e contas comprometidas. Os e-mails geralmente sequestram tópicos de e-mail existentes ou solicitam informações sobre um pedido.”
O projeto, que visa principalmente países como a Roménia, a Polónia, a Alemanha e o Cazaquistão, começa com um ficheiro batch que existe dentro do arquivo. O arquivo em lote incorpora um script do PowerShell ofuscado que posteriormente baixa outro script do PowerShell de um servidor remoto.
O segundo script do PowerShell inclui a funcionalidade de alocação de memória e finalmente executa o shellcode do GuLoader para finalmente baixar a carga para o próximo estágio.
“O malware Goloader continua a adaptar suas estratégias para evitar a detecção e entregar RATs”, disse Gould. “Os atores da ameaça têm constantemente como alvo determinadas indústrias em determinados países. A sua intensidade realça a necessidade de medidas de segurança eficazes”.
