Un nuovo e sofisticato malware, denominato CRON#TRAP, sta emergendo come una minaccia significativa per i sistemi Windows, sfruttando una macchina virtuale Linux per eludere i software antivirus tradizionali. Questo attacco ingegnoso inizia con un file di collegamento Windows (LNK) malevolo, distribuito comunemente attraverso archivi ZIP inviati via email phishing. L'obiettivo è infettare i dispositivi Windows con un'istanza virtuale di Linux che ospita un backdoor, consentendo agli aggressori di ottenere l'accesso remoto ai sistemi compromessi.

La campagna CRON#TRAP

La campagna CRON#TRAP si distingue per la sua capacità di mantenere una presenza furtiva sul dispositivo della vittima. Una volta attivato, il file LNK estrae e avvia un ambiente Linux leggero, emulato tramite il Quick Emulator (QEMU), un noto strumento di virtualizzazione open-source. Questo ambiente virtuale esegue su Tiny Core Linux ed è preconfigurato con un backdoor che si connette automaticamente a un server di comando e controllo (C2) gestito dagli aggressori.

Il processo di infezione

Il processo di infezione inizia quando l'utente apre il file ZIP, che contiene lo script "start.bat" nascosto. Questo script non solo esegue comandi PowerShell per riaprire il file ZIP, ma simula anche un messaggio di errore per ingannare l'utente facendogli credere che il collegamento del sondaggio sia scaduto. Nel frattempo, in background, viene avviata l'istanza QEMU, denominata PivotBox, che utilizza l'utilità di tunneling Chisel per abilitare l'accesso remoto immediato al sistema ospite. Questa configurazione rende difficile il rilevamento del malware da parte delle soluzioni antivirus convenzionali.

Spear-phishing parallelo

Parallelamente, un'altra campagna di spear-phishing sta prendendo di mira aziende dei settori manifatturiero, ingegneristico e industriale in Europa, utilizzando il malware evasivo GuLoader. Gli attacchi iniziano con email che sembrano richieste di ordine, contenenti file batch che scaricano script PowerShell obfuscati. Questi script utilizzano tecniche avanzate per allocare memoria e eseguire codice shell di GuLoader, finalizzato a scaricare ulteriori payload dannosi.

Implicazioni di sicurezza

La capacità di CRON#TRAP di implementare una macchina virtuale per nascondere le proprie operazioni rappresenta un'evoluzione significativa nelle strategie adottate dai cybercriminali. In un contesto in cui le minacce informatiche sono in costante evoluzione, le aziende devono adottare misure proattive per proteggere i propri sistemi e dati. La resilienza e l'adattabilità di questi attacchi sottolineano l'importanza di una sicurezza informatica robusta e aggiornata.