Un grupo de investigadores en ciberseguridad ha detectado un nuevo tipo de malware llamado CRON#TRAP, que afecta a sistemas Windows utilizando una máquina virtual de Linux para evadir los antivirus. Este malware se esconde dentro de una pequeña instancia de Linux que contiene una puerta trasera, lo que permite a los ciberdelincuentes acceder remotamente sin ser detectados.
El ataque comienza con un archivo engañoso en forma de acceso directo de Windows (.LNK), que suele ser distribuido por medio de correos electrónicos de phishing. Estos correos aparentan ser una encuesta de una empresa conocida, y al abrir un archivo comprimido que se adjunta, el malware empieza a actuar. El archivo ejecuta comandos en el sistema para iniciar un entorno virtual de Linux a través de una herramienta llamada QEMU, que es un software de virtualización de código abierto.
Lo más preocupante de este malware es que la máquina virtual de Linux ya está configurada para conectarse automáticamente a los servidores controlados por los ciberdelincuentes, permitiendo que éstos mantengan una presencia en la máquina infectada sin levantar sospechas. Esto lo hace especialmente difícil de detectar para los antivirus comunes.
La campaña CRON#TRAP ha sido diseñada cuidadosamente para evadir los sistemas de protección convencionales. Al emplear una máquina virtual de Linux ligera, se logra crear un entorno separado del sistema operativo principal, lo que impide que muchas soluciones antivirus detecten la actividad maliciosa. Además, el uso de correos electrónicos de phishing bien diseñados hace que los usuarios bajen la guardia, aumentando las posibilidades de que el malware sea ejecutado.
Se recomienda a los usuarios y empresas extremar las precauciones al recibir correos electrónicos no solicitados y verificar siempre la autenticidad de los archivos adjuntos antes de abrirlos. También es fundamental contar con soluciones de seguridad que puedan detectar comportamientos sospechosos y analizar entornos virtuales, ya que este tipo de ataques están en constante evolución y cada vez emplean técnicas más sofisticadas para evitar ser descubiertos. La capacitación en ciberseguridad de los empleados también puede ser una medida crucial para prevenir que este tipo de amenazas logren comprometer sistemas sensibles.
Más información:
- Hackers Deploy CRON#TRAP for Persistent Linux System Backdoors https://hackread.com/hackers-crontrap-persistent-linux-system-backdoors/
- New CRON#TRAP Malware Infects Windows by Hiding in Linux VM to Evade Antivirus https://thehackernews.com/2024/11/new-crontrap-malware-infects-windows-by.html
- CRON#TRAP: The New Phishing Campaign Bringing Linux Backdoors to Windows Machines https://medium.com/cybersecurity-and-iot/cron-trap-the-new-phishing-campaign-bringing-linux-backdoors-to-windows-machines-7a5696c645e0
Deja una respuesta