Windows infectado con máquinas virtuales Linux con puerta trasera en nuevos ataques de phishing
Una nueva campaña de phishing denominada ‘CRON#TRAP’ infecta Windows con una máquina virtual Linux que contiene una puerta trasera incorporada para brindar acceso sigiloso a las redes corporativas.
Usar máquinas virtuales para realizar ataques no es nada nuevo, con bandas de ransomware y criptomineros usándolos para realizar sigilosamente actividades maliciosas. Sin embargo, los actores de amenazas suelen instalarlos manualmente después de violar una red.
Una nueva campaña detectada por Investigadores de Securonix en cambio, está utilizando correos electrónicos de phishing para realizar instalaciones desatendidas de máquinas virtuales Linux para violar y ganar persistencia en las redes corporativas.
Los correos electrónicos de phishing pretenden ser una «encuesta de OneAmerica» que incluye un archivo ZIP grande de 285 MB para instalar una máquina virtual Linux con una puerta trasera preinstalada.
Este archivo ZIP contiene un acceso directo de Windows llamado «OneAmerica Survey.lnk» y una carpeta de «datos» que contiene la aplicación de la máquina virtual QEMU, con el ejecutable principal disfrazado de fontdiag.exe.
Cuando se inicia el acceso directo, ejecuta un comando de PowerShell para extraer el archivo descargado a la carpeta «%UserProfile%\datax» y luego inicia «start.bat» para configurar e iniciar una máquina virtual QEMU Linux personalizada en el dispositivo.
Mientras se instala la máquina virtual, el mismo archivo por lotes mostrará un archivo PNG descargado de un sitio remoto que muestra un error de servidor falso como señuelo, lo que implica un enlace roto a la encuesta.
La máquina virtual TinyCore Linux personalizada llamada ‘PivotBox’ está precargada con una puerta trasera que asegura la comunicación C2 persistente, lo que permite a los atacantes operar en segundo plano.
Dado que QEMU es una herramienta legítima que también está firmada digitalmente, Windows no genera ninguna alarma sobre su ejecución y las herramientas de seguridad no pueden examinar qué programas maliciosos se ejecutan dentro de la máquina virtual.
Operaciones de puerta trasera
En el corazón de la puerta trasera hay una herramienta llamada Chisel, un programa de túnel de red que está preconfigurado para crear canales de comunicación seguros con un servidor de comando y control (C2) específico a través de WebSockets.
Chisel canaliza datos a través de HTTP y SSH, lo que permite a los atacantes comunicarse con la puerta trasera del host comprometido incluso si un firewall protege la red.
Para lograr persistencia, el entorno QEMU está configurado para iniciarse automáticamente después de que el host se reinicie mediante modificaciones de ‘bootlocal.sh’. Al mismo tiempo, se generan y cargan claves SSH para evitar tener que volver a autenticarse.
Securonix destaca dos comandos, a saber, ‘get-host-shell’ y ‘get-host-user’. El primero genera un shell interactivo en el host, que permite la ejecución de comandos, mientras que el segundo se utiliza para determinar los privilegios.
Los comandos que se pueden ejecutar incluyen acciones de vigilancia, gestión de red y carga útil, gestión de archivos y operaciones de exfiltración de datos, por lo que los atacantes tienen un conjunto versátil que les permite adaptarse al objetivo y realizar acciones dañinas.
Defenderse del abuso de QEMU
La campaña CRON#TRAP no es la primera vez que piratas informáticos abusan de QEMU para establecer comunicaciones sigilosas con su servidor C2.
En marzo de 2024, Kaspersky informó otra campaña en la que los actores de amenazas utilizaron QEMU para crear interfaces de red virtuales y un dispositivo de red tipo socket para conectarse a un servidor remoto.
En ese caso, se utilizó una puerta trasera muy ligera escondida dentro de una máquina virtual Kali Linux que se ejecuta con sólo 1 MB de RAM para configurar un túnel de comunicaciones encubierto.
Para detectar y bloquear estos ataques, considere colocar monitores para procesos como ‘qemu.exe’ ejecutados desde carpetas accesibles para el usuario, coloque QEMU y otras suites de virtualización en una lista de bloqueo y deshabilite o bloquee la virtualización en general en dispositivos críticos desde el BIOS del sistema.