Novas ameaças de phishing infectam Windows com VM Linux

Novas ameaças de phishing infectam Windows com VM Linux e um backdoor. Confira os detalhes dessa nova e perigosa ameaça.

Você sabe o que é a nova campanha de phishing chamada ‘CRONTRAP’? Neste artigo, vamos explicar como esse ataque afeta os sistemas Windows usando uma máquina virtual Linux e um backdoor. Você aprenderá sobre o e-mail disfarçado de “pesquisa OneAmerica” que contém um grande arquivo ZIP, como os hackers conseguem se infiltrar nas redes corporativas e como você pode detectar e proteger seu sistema contra essa ameaça. Fique atento e descubra como se proteger!

  • A campanha de phishing ‘CRON#TRAP’ usa e-mails falsos sobre “pesquisa OneAmerica”.
  • Um arquivo ZIP de 285MB instala uma máquina virtual Linux com um backdoor.
  • A máquina virtual chamada ‘PivotBox’ permite comunicação secreta com hackers.
  • O QEMU é uma ferramenta legítima que ajuda a esconder atividades maliciosas.
  • É importante monitorar ‘qemu.exe’ e limitar a virtualização em sistemas críticos.

Windows Infectados com VMs Linux Backdoor em Novos Ataques de Phishing

Um novo ataque de phishing, conhecido como CRON#TRAP, tem infectado computadores Windows com máquinas virtuais Linux que contêm um backdoor embutido. Este backdoor fornece acesso furtivo a redes corporativas, criando um cenário preocupante para a segurança digital.

O Que Está Acontecendo?

Os ataques de phishing não são novidade, mas o método utilizado nesta campanha é bastante inovador. Em vez de os hackers instalarem manualmente máquinas virtuais, eles estão utilizando e-mails de phishing para realizar instalações não supervisionadas de máquinas virtuais Linux, garantindo acesso e persistência nas redes corporativas.

Como Funciona o Ataque?

Os e-mails de phishing se disfarçam como uma pesquisa da OneAmerica, contendo um grande arquivo ZIP de 285MB. Este arquivo inclui um atalho do Windows chamado “OneAmerica Survey.lnk” e uma pasta “data” que contém a aplicação QEMU. O executável principal é disfarçado como fontdiag.exe.

Quando o atalho é ativado, ele executa um comando do PowerShell que extrai o arquivo baixado para a pasta “%UserProfile%\datax”. Em seguida, inicia um arquivo start.bat que configura e lança uma máquina virtual Linux QEMU no dispositivo.

Novas ameaças de phishing infectam Windows com VM Linux
Novas ameaças de phishing infectam Windows com VM Linux – Arquivo em lote Start.bat instalando a máquina virtual QEMU Linux (Foto: Reprodução/BleepingComputer)

Durante a instalação, o arquivo em lote exibe uma imagem PNG baixada de um site remoto, mostrando um erro de servidor falso como disfarce, sugerindo que o link da pesquisa está quebrado.

Novas ameaças de phishing infectam Windows com VM Linux
Novas ameaças de phishing infectam Windows com VM Linux – Imagem mostrando erro falso (Foto: Reprodução/Securonix)

O Que Há Dentro da Máquina Virtual?

A máquina virtual Linux personalizada, chamada de PivotBox, vem com um backdoor pré-carregado que estabelece comunicação persistente com um servidor de comando e controle (C2), permitindo que os atacantes operem em segundo plano sem serem detectados.

Tabela: Características do Backdoor

CaracterísticaDescrição
FerramentaChisel
ComunicaçãoTúnel de rede via HTTP e SSH
PersistênciaInício automático após reinicialização com ‘bootlocal.sh’
Comandos‘get-host-shell’ e ‘get-host-user’

Como os Atacantes Operam?

O backdoor utiliza a ferramenta Chisel, um programa de tunelamento de rede configurado para criar canais de comunicação seguros com um servidor C2 via WebSockets. Isso permite que os atacantes se comuniquem com o backdoor na máquina comprometida, mesmo que um firewall proteja a rede.

Os comandos executáveis incluem ações de surveillance, gerenciamento de rede, gerenciamento de arquivos e operações de exfiltração de dados, proporcionando aos atacantes um conjunto versátil de ferramentas para realizar ações prejudiciais.

Novas ameaças de phishing infectam Windows com VM Linux
Novas ameaças de phishing infectam Windows com VM Linux – Histórico de comandos do agente de ameaça (Foto: Reprodução/Securonix)

O Que Fazer Para Se Proteger?

Para detectar e bloquear esses ataques, considere as seguintes medidas:

  • Monitorar processos como qemu.exe executados de pastas acessíveis ao usuário.
  • Colocar o QEMU e outras suítes de virtualização em uma lista de bloqueio.
  • Desativar ou bloquear a virtualização em dispositivos críticos a partir da BIOS do sistema.

Conclusão

Em resumo, a campanha de phishing ‘CRON#TRAP’ representa uma ameaça significativa para a segurança digital, especialmente para sistemas Windows. Utilizando e-mails fraudulentos disfarçados de pesquisas legítimas, os atacantes conseguem instalar máquinas virtuais Linux com um backdoor embutido, permitindo acesso furtivo às redes corporativas. A inovação desse ataque destaca a importância de estar sempre alerta e implementar medidas de segurança robustas.

Para se proteger, é crucial monitorar processos como qemu.exe, desativar a virtualização em sistemas críticos e manter vigilância constante sobre atividades suspeitas. Lembre-se, a informação é a sua melhor defesa. Continue a se informar e a se preparar para essas ameaças em constante evolução.

Se você deseja se aprofundar ainda mais em temas de segurança cibernética, não hesite em explorar mais artigos em Edivaldo Brito.

Perguntas Frequentes

O que é a campanha de phishing ‘CRON#TRAP’?

A campanha ‘CRON#TRAP’ usa e-mails disfarçados para infectar Windows.

Como funciona a máquina virtual infectada?

A máquina virtual roda com um backdoor, permitindo que atacantes controlem o sistema.

O que é o QEMU?

QEMU é uma ferramenta legítima que cria máquinas virtuais, mas aqui é usada para fins maliciosos.

Como posso me proteger contra esse tipo de ataque?

Monitore processos como ‘qemu.exe’ e limite a virtualização em máquinas críticas.

Esse tipo de ataque já aconteceu antes?

Sim, hackers já usaram o QEMU em campanhas de phishing anteriores, mostrando um padrão de abuso.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.