CRON#TRAP es el nombre de una nueva y sofisticada campaña de phishing que ha comenzado a afectar equipos Windows mediante una táctica peculiar: infectarlos con una máquina virtual Linux que incluye una puerta trasera preconfigurada para acceso no autorizado a redes empresariales.
Este tipo de ataque aprovecha la virtualización para pasar desapercibido y operar en segundo plano, lo que representa un desafío adicional para los sistemas de seguridad tradicionales, así lo han reportado los investigadores de Securonix.
¿Cómo Funciona CRON#TRAP?
A diferencia de otras amenazas de phishing, CRON#TRAP emplea un enfoque más elaborado. En esta campaña, los atacantes utilizan correos electrónicos que aparentan ser una encuesta de «OneAmerica», acompañados de un archivo ZIP de 285 MB.
Este archivo incluye un acceso directo llamado «OneAmerica Survey.lnk» y una carpeta denominada «data», que contiene la aplicación de máquina virtual QEMU bajo el disfraz del ejecutable fontdiag.exe.
Cuando la víctima hace clic en el acceso directo, un comando de PowerShell ejecuta y configura automáticamente una máquina virtual Linux en el dispositivo afectado, permitiendo a los atacantes ganar persistencia en la red.
Para desviar sospechas, la instalación muestra una pantalla de error que simula un fallo en la conexión al enlace de la encuesta, creando una apariencia de fallo inofensivo mientras QEMU configura y ejecuta la máquina virtual de Linux, llamada PivotBox.
Puerta Trasera y Comunicación Sigilosa
La máquina virtual Linux PivotBox instalada en el equipo de la víctima viene preconfigurada con una puerta trasera que permite a los atacantes establecer una conexión persistente con un servidor de comando y control (C2).
Esta comunicación es posible gracias a Chisel, una herramienta de tunelización de red que utiliza WebSockets para crear canales de comunicación encubiertos a través de HTTP y SSH.
Con estos túneles, los atacantes pueden conectarse a la máquina comprometida sin levantar alarmas en los sistemas de monitoreo tradicionales, permitiéndoles acceso constante al dispositivo.
Funciones de la Puerta Trasera: Control Total sobre la Máquina
Dentro de CRON#TRAP, los atacantes tienen acceso a comandos personalizados que les permiten ejecutar operaciones avanzadas. Algunos de los comandos principales incluyen:
- get-host-shell: proporciona un shell interactivo para ejecutar comandos en el host comprometido.
- get-host-user: permite a los atacantes conocer los privilegios del usuario en el dispositivo.
Estos comandos ofrecen a los atacantes una gama de opciones para la vigilancia, la exfiltración de datos, la gestión de red y la modificación de archivos en el host comprometido, facilitando así acciones maliciosas adaptadas a los objetivos específicos.
Persistencia a Través de QEMU
Para garantizar la persistencia, QEMU se configura para iniciarse automáticamente tras cada reinicio del dispositivo mediante una modificación del archivo bootlocal.sh.
Además, se generan y cargan claves SSH para que los atacantes puedan reconectar sin necesidad de autenticarse nuevamente, lo cual representa un gran desafío en términos de detección y protección para los equipos de seguridad de las empresas afectadas.
Prevención y Defensa Contra CRON#TRAP
Dado el uso de QEMU como herramienta legítima, CRON#TRAP evade con facilidad las herramientas de detección convencionales. Para defenderse de esta amenaza, los expertos en seguridad sugieren:
- Monitorear procesos de virtualización: especialmente aquellos que ejecuten qemu.exe desde ubicaciones de usuario.
- Listas de bloqueo: incluir QEMU y otras suites de virtualización en listas de bloqueo para evitar su uso no autorizado.
- Deshabilitar la virtualización en dispositivos críticos, configurando el BIOS para restringir el uso de máquinas virtuales en equipos clave.
CRON#TRAP es una muestra clara de cómo los atacantes están aprovechando herramientas de virtualización legítimas para crear campañas de phishing altamente sofisticadas.
Con un uso astuto de máquinas virtuales Linux y túneles de comunicación seguros, esta campaña marca una nueva etapa en la evolución de las amenazas cibernéticas.
La detección y prevención requieren enfoques más proactivos que nunca para combatir el abuso de herramientas como QEMU y proteger la integridad de las redes corporativas….
