Malware CRON#TRAP usa Linux virtualizado para infectar sistemas Windows
Pesquisadores de segurança cibernética identificaram uma nova campanha de malware, batizada de CRON#TRAP, que utiliza uma técnica inovadora para infectar sistemas Windows, a execução de uma instância virtual de Linux contendo um backdoor. Essa abordagem permite que o malware mantenha uma presença furtiva nos dispositivos comprometidos, dificultando sua detecção por soluções tradicionais de antivírus.
A campanha começa com um arquivo malicioso no formato LNK (atalho do Windows), geralmente distribuído em arquivos ZIP anexados a e-mails de phishing. Esses e-mails fraudulentos simulam ser pesquisas legítimas de organizações como “OneAmerica”, incentivando a vítima a abrir o arquivo.
Como o CRON#TRAP opera
De acordo com os pesquisadores da Securonix, Den Iuzvyk e Tim Peck, o arquivo LNK atua como ponto de partida para criar um ambiente Linux virtualizado dentro do sistema Windows, usando o Quick Emulator (QEMU), uma ferramenta legítima de virtualização de código aberto. A máquina virtual utiliza o sistema operacional Tiny Core Linux, pré-configurada com um backdoor que se conecta automaticamente a um servidor de comando e controle (C2) controlado pelos invasores.
O processo de infecção funciona assim:
- A vítima abre o arquivo ZIP anexado ao e-mail de phishing, que contém o atalho malicioso.
- Esse atalho aciona comandos PowerShell para extrair e executar o script oculto “start.bat”.
- O script exibe uma mensagem de erro falsa, alegando que o link da pesquisa está inativo, enquanto secretamente configura o ambiente virtual Linux, chamado de PivotBox.
- A PivotBox é configurada com a ferramenta Chisel, que cria um túnel para permitir acesso remoto ao dispositivo infectado, transformando o ambiente Linux em um backdoor completo.
Segundo os pesquisadores, o backdoor utiliza websockets para se conectar ao servidor C2, permitindo que os invasores enviem e recebam comandos de forma dissimulada, sem despertar suspeitas.
Por que o CRON#TRAP é muito perigoso?
O principal diferencial do CRON#TRAP é sua capacidade de ocultar atividades maliciosas em um ambiente virtual separado, dificultando a identificação por antivírus e ferramentas de monitoramento.
Como o malware opera dentro de uma máquina virtual Linux, ele não interage diretamente com o sistema operacional Windows da vítima, tornando sua detecção mais complexa.
Essa estratégia não apenas reforça a furtividade do malware, mas também permite que os invasores escalem suas operações. Com acesso remoto ao dispositivo comprometido, eles podem roubar dados, instalar outros malwares e realizar ataques mais elaborados.
Outras campanhas relacionadas
A tática de usar scripts PowerShell ofuscados para infectar dispositivos também foi observada em outras campanhas de spear-phishing, como a distribuição do malware GuLoader. Essa campanha visa principalmente empresas de manufatura eletrônica, engenharia e indústrias em países europeus como Romênia, Polônia, Alemanha e Cazaquistão. Os e-mails, muitas vezes enviados de contas comprometidas, simulam consultas de pedidos e incluem arquivos de lote (batch files) que executam scripts maliciosos.
De forma semelhante ao CRON#TRAP, o GuLoader utiliza técnicas avançadas para evadir detecções e entregar malwares como RATs (Remote Access Trojans). Essa evolução constante das técnicas de ataque ressalta a necessidade de medidas proativas de segurança.
Como se proteger contra o CRON#TRAP e ameaças semelhantes
Para reduzir os riscos de infecção por malwares como o CRON#TRAP, é essencial adotar práticas robustas de segurança cibernética:
- Desconfie de e-mails suspeitos: Evite abrir anexos ou clicar em links de e-mails inesperados, mesmo que pareçam vir de fontes confiáveis. Verifique cuidadosamente o endereço do remetente.
- Use ferramentas de segurança atualizadas: Certifique-se de que seu antivírus está configurado para realizar atualizações automáticas e escaneamentos regulares.
- Evite downloads de arquivos ZIP de origem duvidosa: Muitos malwares se escondem em arquivos compactados. Analise qualquer arquivo suspeito antes de abri-lo.
- Desative scripts automáticos no PowerShell: Limitar o uso de scripts PowerShell em sua rede reduz a superfície de ataque.
- Implemente monitoramento avançado: Ferramentas de EDR (Endpoint Detection and Response) podem ajudar a identificar atividades incomuns em dispositivos.
- Eduque os usuários: Treine sua equipe para reconhecer sinais de phishing e outros tipos de ataques.
Conclusão
O CRON#TRAP representa uma evolução nas estratégias de ciberataques, utilizando a virtualização para evitar detecção e manter uma presença furtiva nos sistemas infectados. Campanhas como essa reforçam a importância de práticas de segurança cibernética, incluindo o uso de ferramentas avançadas, monitoramento contínuo e conscientização dos usuários.
À medida que as ameaças continuam a se sofisticar, organizações e indivíduos devem se manter vigilantes e proativos para proteger seus sistemas contra essas ameaças emergentes.
Fonte e imagens: https://thehackernews.com/2024/11/new-crontrap-malware-infects-windows-by.html
