Pesquisadores de cibersegurança identificaram uma nova campanha de malware que infecta sistemas Windows com uma instância virtual Linux contendo uma backdoor capaz de estabelecer acesso remoto aos hosts comprometidos.
A campanha, denominada CRON#TRAP, é "intrigante" e começa com um arquivo de atalho do Windows (LNK) malicioso, provavelmente distribuído na forma de um arquivo ZIP por meio de um e-mail de phishing.
"O que torna a campanha CRON#TRAP particularmente preocupante é que a instância Linux emulada vem pré-configurada com uma backdoor que se conecta automaticamente a um servidor de comando e controle (C2) controlado pelo atacante," afirmaram os pesquisadores da Securonix, Den Iuzvyk e Tim Peck, em uma análise.
"Essa configuração permite que o atacante mantenha uma presença furtiva na máquina da vítima, preparando atividades maliciosas adicionais em um ambiente oculto, tornando a detecção desafiadora para soluções antivírus tradicionais."
As mensagens de phishing se passam por uma "pesquisa OneAmerica" que vem com um arquivo ZIP grande de 285MB, que, ao ser aberto, inicia o processo de infecção.
Como parte da campanha de ataque ainda não atribuída, o arquivo LNK serve como um canal para extrair e iniciar um ambiente Linux personalizado e leve emulado através do Quick Emulator (QEMU), uma ferramenta de virtualização legítima e de código aberto. A máquina virtual é baseada no Tiny Core Linux.
O atalho então lança comandos PowerShell responsáveis por re-extrair o arquivo ZIP e executar um script oculto "start.bat", que, por sua vez, exibe uma mensagem de erro falsa para a vítima, dando a impressão de que o link da pesquisa não está mais funcionando.
Mas, em segundo plano, ele configura o ambiente virtual Linux QEMU, referido como PivotBox, que vem pré-carregado com a utilidade de tunelamento Chisel, concedendo acesso remoto ao host imediatamente após a inicialização da instância QEMU.
"O binário parece ser um cliente Chisel pré-configurado projetado para se conectar a um servidor remoto de Comando e Controle (C2) em 18.208.230[.]174 via websockets," disseram os pesquisadores. "A abordagem dos atacantes transforma efetivamente este cliente Chisel em uma backdoor completa, permitindo que o tráfego de comando e controle remoto flua dentro e fora do ambiente Linux."
Esse desenvolvimento é um dos muitos táticas em constante evolução que os atores de ameaças estão usando para visar organizações e ocultar atividades maliciosas — um exemplo é uma campanha de spear-phishing que foi observada visando empresas de manufatura eletrônica, engenharia e industriais em países europeus para entregar o malware evasivo GuLoader.
"Os e-mails geralmente incluem consultas de pedido e contêm um anexo de arquivo de arquivo," disse a pesquisadora de segurança da Cado Security, Tara Gould. "Os e-mails são enviados de vários endereços de e-mail, incluindo de empresas falsas e contas comprometidas. Os e-mails geralmente sequestram um tópico de e-mail existente ou solicitam informações sobre um pedido."
A atividade, que tem como alvo principalmente países como Romênia, Polônia, Alemanha e Cazaquistão, começa com um arquivo em lote presente dentro do arquivo de arquivo. O arquivo em lote contém um script PowerShell ofuscado que, posteriormente, baixa outro script PowerShell de um servidor remoto.
O script PowerShell secundário inclui funcionalidades para alocar memória e, finalmente, executar o shellcode do GuLoader para buscar a próxima carga útil.
"O malware GuLoader continua a adaptar suas técnicas para evadir detecção e entregar RATs," disse Gould. "Os atores de ameaça continuam a visar indústrias específicas em certos países. Sua resiliência destaca a necessidade de medidas de segurança proativas."
Via - THN
Comments