Kyberbezpečnostní experti upozornili na novou kampaň malwaru, která infikuje systémy Windows pomocí linuxové virtuální instance obsahující zadní vrátka schopná navázat vzdálený přístup hackerům.
„Tato zajímavá kampaň s kódovým označením CRON#TRAP začíná škodlivým zástupcem (soubor LNK) pro Windows, který je pravděpodobně šířen ve formátu ZIP archivu pomocí phishingového e-mailu,“ uvedli expertize Securonix Den Iuzvyk a Tim Peck v analýze.
„To, co činí kampaň CRON#TRAP obzvláště znepokojující, je fakt, že emulovaná linuxová instance je předem nakonfigurována se zadními vrátky, která se automaticky připojují k serveru pro příkazy a řízení (C2) ovládanému útočníkem,“ dodali.
Toto nastavení umožňuje útočníkovi udržovat skrytou přítomnost na zařízení oběti, čímž se v utajeném prostředí provádí další škodlivé aktivity, což činí detekci náročnou pro tradiční antivirová řešení.
Phishingové zprávy se vydávají za „průzkum OneAmerica“, který přichází s velkým 285MB ZIP archivem, který po otevření spustí proces infekce.
V rámci dosud nepřipsané kampaně slouží LNK soubor jako kanál pro extrakci a spuštění lehkého, vlastního linuxového prostředí emulovaného prostřednictvím Quick Emulator (QEMU), legitimního open-source virtualizačního nástroje.
Zástupce následně spouští příkazy PowerShell, které jsou zodpovědné za znovu-extrakci ZIP souboru a spuštění skrytého skriptu start.bat, který naopak zobrazuje uživateli falešnou chybovou zprávu, aby jí dal dojem, že odkaz na průzkum již nefunguje.
Ale na pozadí nastavuje QEMU virtuální linuxové prostředí označované jako PivotBox, které je předem nahráno s nástrojem pro tunelování Chisel, což umožňuje vzdálený přístup k hostiteli ihned po spuštění instance QEMU.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
