Aviso sobre amenazas de ciberseguridad:

Aviso sobre amenazas de ciberseguridad:

Campaña de Phishing CRON#TRAP

Una nueva campaña de phishing, identificada como CRON#TRAP, está atacando sistemas Windows con una maquina virtual Linux precargada para evadir la detección y llevar a cabo actos maliciosos.

¿Cuál es la amenaza?

CRON#TRAP se dirige a los usuarios de Windows con correos electrónicos de phishing que contienen un archivo ZIP malicioso disfrazado como un archivo adjunto de una encuesta. El archivo ZIP contiene un acceso directo de Windows y una carpeta de datos con el emulador de maquina virtual QEMU, camuflado como “fontdiag.exe”.

Cuando se ejecuta, el acceso directo lanza un script de PowerShell que configura una maquina virtual Linux QEMU, llamada PivotBox, que incluye una puerta trasera preconfigurada para la comunicación de comando y control (C2). La puerta trasera de la maquina virtual utiliza Chisel, una herramienta de tunelización que establece comunicación con un servidor C2 a través de WebSockets sobre HTTP y SSH, lo que les permite a los atacantes emitir comandos y extraer datos. El uso de QEMU, una aplicación firmada legitima, permite que el ataque evada la detección por parte de las herramientas de seguridad, ya que las actividades dentro de la maquina virtual están ocultas a las defensas del host.

¿Por qué es de relevancia?

CRON#TRAP se destaca como un innovador ataque de phishing que implementa un entorno Linux completamente funcional en Windows sin ser detectado. Al aprovechar QEMU, los atacantes pueden mantener un acceso persistente y encubierto a los sistemas comprometidos, evitando eficazmente los antivirus tradicionales y la detección de puntos finales. El uso de maquinas virtuales para el acceso por puerta trasera en el ataque también muestra un cambio en las técnicas de los atacantes hacia la virtualización como método para evadir los controles de seguridad. Este enfoque es notable por su adaptabilidad y potencial para realizar un reconocimiento de red extenso y exfiltración de datos desde un entorno de máquinas virtuales.

¿Cuál es el riesgo?

La campaña supone un riesgo importante para las organizaciones, ya que permite a los atacantes obtener y mantener un acceso oculto a largo plazo a las redes. Como el ataque aprovecha una maquina virtual Linux, las herramientas de seguridad tradicionales basadas en Windows tienen una capacidad limitada para detectar acciones maliciosas dentro del entorno virtual. Con acceso a comandos como get-host-shell y get-host-user, los atacantes pueden emitir comandos privilegiados, controlar la gestión de archivos, realizar reconocimiento de red y extraer datos confidenciales. El uso de la herramienta de tunelización Chisel complica aun mas la detección al permitir comunicaciones encubiertas que pueden evadir las defensas a nivel de red. Para las organizaciones sin defensas contra el abuso de la virtualización, CRON#TRAP presenta un alto riesgo de compromiso persistente de los datos y acceso no autorizado.

Recomendaciones

Se recomienda realizar las siguientes acciones para tomar medidas adicionales y reducir el riesgo de explotación protegiendo su infraestructura critica de esta y otras amenazas similares:

  • Configure reglas de detección para procesos inusuales como “qemu.exe” que se originan en carpetas a las que pueda acceder el usuario, ya que pueden indicar implementaciones de máquinas virtuales no autorizadas.
  • Bloquee QEMU y otro software de virtualización en sistemas críticos que no requieren virtualización.
  • Deshabilite las opciones de virtualización en la BIOS del sistema en los puntos finales críticos para evitar la instalación no autorizada de máquinas virtuales.
  • Utilice soluciones de correo electrónico avanzadas para bloquear correos electrónicos de phishing que contengan archivos adjuntos sospechosos, especialmente archivos ZIP de gran tamaño.

  • Eduque a los empleados sobre como reconocer correos electrónicos de phishing y evitar archivos adjuntos de encuestas no solicitados.

  • Implemente la supervisión de la red y de los puntos finales para detectar trafico WebSocket, HTTP o SSH inusual que pueda indicar comunicaciones C2.
  • Aplique políticas que restrinjan el uso de PowerShell y otros lenguajes de scripting, en particular para aplicaciones no confiables.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

JR

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.