La campaña de phishing CRON#TRAP marca un avance en las tácticas de infiltración y persistencia, utilizando máquinas virtuales (VMs) de Linux TinyCore en sistemas Windows para introducir una puerta trasera en las redes corporativas. Este ataque fue identificado por investigadores de Securonix, quienes descubrieron que los atacantes usan correos electrónicos de phishing disfrazados como encuestas de «OneAmerica» para persuadir a las víctimas de descargar un archivo ZIP de 285 MB. Este archivo contiene una máquina virtual Linux preconfigurada con una puerta trasera y diseñada para operar de forma encubierta dentro de los sistemas infectados.
Estrategia de Infiltración con Máquinas Virtuales
El uso de máquinas virtuales en ataques de phishing no es una técnica nueva, pero la forma en que CRON#TRAP lo implementa es particularmente única. Normalmente, los ciberatacantes instalan manualmente máquinas virtuales después de acceder a una red; sin embargo, CRON#TRAP instala una VM Linux no supervisada con solo hacer clic en un acceso directo malicioso. Este proceso emplea PowerShell y scripts batch que activan el programa QEMU (una plataforma de virtualización legítima) para desplegar la VM. La infección permanece oculta tras un mensaje falso que simula una conexión rota con la encuesta, usando un archivo PNG descargado desde un servidor remoto.
Chisel: La Herramienta de Puerta Trasera
Dentro de la VM PivotBox, la puerta trasera utiliza una herramienta de tunelización de red llamada Chisel, la cual permite el uso de canales seguros mediante HTTP y SSH para conectarse con un servidor de comando y control (C2). Esta configuración permite a los atacantes ejecutar comandos en el sistema host comprometido, realizar vigilancia, gestionar archivos y extraer datos. Además, se configuran claves SSH para mantener el acceso persistente, y las modificaciones en el archivo ‘bootlocal.sh’ aseguran que la VM se inicie automáticamente tras cada reinicio del sistema.
Técnicas de Detección y Prevención
Para detectar y prevenir ataques como CRON#TRAP, los expertos recomiendan supervisar procesos como qemu.exe y evitar su ejecución en carpetas accesibles al usuario. También es aconsejable bloquear herramientas de virtualización en dispositivos críticos, ya sea mediante listas de bloqueo o configuraciones del BIOS. Estas precauciones son esenciales, dado que QEMU es una herramienta legítima firmada digitalmente, lo cual dificulta que los sistemas de seguridad detecten actividades maliciosas dentro de la VM.
Casos Anteriores: Precedente de QEMU en Ataques
Este método de abuso de QEMU se observó previamente en otra campaña detectada por Kaspersky en marzo de 2024, donde los atacantes también utilizaron QEMU para crear interfaces de red virtuales y conexiones ocultas a servidores remotos. En este caso, la máquina virtual ejecutaba una versión de Kali Linux y configuraba un túnel de comunicaciones con solo 1 MB de RAM, permitiendo comunicaciones encubiertas sin activar las alarmas de los sistemas de seguridad.
Conclusión
CRON#TRAP representa un desafío serio para la ciberseguridad, ya que emplea técnicas avanzadas de persistencia y encubrimiento mediante la virtualización. Para protegerse contra este tipo de amenazas, es crucial que las organizaciones adopten controles de seguridad que monitoreen el uso de aplicaciones de virtualización y fortalezcan las políticas de control de acceso en sus sistemas críticos.