Pesquisadores em segurança cibernética detectaram uma nova e preocupante campanha de malware chamada CRON#TRAP, que utiliza uma abordagem única para infectar sistemas Windows. Diferente dos ataques convencionais, CRON#TRAP executa uma máquina virtual (VM) Linux com um backdoor preconfigurado, permitindo que criminosos cibernéticos mantenham acesso oculto e remoto às máquinas infectadas.
Novo malware CRON#TRAP utiliza máquina virtual Linux para infectar sistemas Windows
A campanha começa com um e-mail de phishing contendo um arquivo de atalho do Windows (LNK), geralmente embalado em um arquivo ZIP. Este arquivo de atalho extrai um ambiente Linux leve e personalizado, o Tiny Core Linux, através do Quick Emulator (QEMU), uma ferramenta de virtualização de código aberto.
A principal característica que diferencia o CRON#TRAP é o uso de uma VM Linux para executar seu código malicioso, o que dificulta a detecção por antivírus tradicionais. Esse ambiente virtual, chamado PivotBox, utiliza a ferramenta Chisel para criar um túnel de comunicação com um servidor de comando e controle (C2). Com esse método, o malware se torna altamente evasivo, pois opera dentro de uma VM separada, mascarando-se dos sistemas de segurança do Windows.
Quando o usuário abre o arquivo LNK, comandos do PowerShell executam um script oculto, start.bat, que cria uma falsa mensagem de erro para disfarçar a atividade maliciosa. Em segundo plano, o QEMU configura o ambiente PivotBox, ativando o backdoor e conectando-se automaticamente ao servidor C2 do invasor.
Notícias Relacionadas
Segurança digital
Malicious NPM Packages Alvo Roblox com malware de roubo de dados
Pacotes maliciosos no repositório npm estão infectando desenvolvedores de Roblox com malware de roubo de dados, Skuld e Blank Grabber. Esta campanha explora falhas na segurança da cadeia de suprimentos.
Exploração avançada
Hackers usam kit Winos4.0 para explorar sistemas Windows
Hackers intensificam ataques contra usuários de Windows utilizando o framework Winos4.0, que distribui malware disfarçado em aplicativos de jogos. O malware coleta informações do sistema e mantém conexão com o servidor C2, representando uma ameaça persistente.
Uma tática de ataque em constante evolução
Essa abordagem é uma das muitas táticas inovadoras que agentes de ameaças utilizam para escapar de soluções de segurança, em especial contra empresas de engenharia e manufatura eletrônica na Europa. Em outra campanha semelhante, o malware GuLoader foi distribuído através de e-mails que simulam consultas de pedidos de empresas falsas, contendo scripts PowerShell ofuscados que baixam novas cargas maliciosas.
Os agentes responsáveis pelo CRON#TRAP e outros malwares como o GuLoader continuam a aprimorar suas táticas para explorar vulnerabilidades específicas em diversos setores, sublinhando a importância de medidas de segurança proativas para detectar ameaças complexas como essa.
Como se proteger do CRON#TRAP
A natureza sofisticada do CRON#TRAP ressalta a necessidade de uma vigilância aprimorada e o uso de ferramentas de segurança que monitorem atividades incomuns. As empresas devem revisar suas práticas de segurança, incluindo a implementação de verificações contínuas e análise de comportamento para identificar ameaças que utilizam máquinas virtuais ou outras camadas de evasão.
Manter-se atualizado sobre as ameaças emergentes e treinar as equipes para reconhecer e evitar e-mails suspeitos é uma das principais defesas contra esse tipo de ataque.
