{"id":3329,"date":"2024-11-06T02:27:14","date_gmt":"2024-11-06T07:27:14","guid":{"rendered":"https:\/\/zidrave.net\/?p=3329"},"modified":"2024-11-06T02:27:15","modified_gmt":"2024-11-06T07:27:15","slug":"windows-infectado-con-maquinas-virtuales-linux-con-puerta-trasera-en-nuevos-ataques-de-phishing","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/11\/06\/windows-infectado-con-maquinas-virtuales-linux-con-puerta-trasera-en-nuevos-ataques-de-phishing\/","title":{"rendered":"Windows infectado con m\u00e1quinas virtuales Linux con puerta trasera en nuevos ataques de phishing"},"content":{"rendered":"\n<p>La campa\u00f1a de phishing <strong>CRON#TRAP<\/strong> marca un avance en las t\u00e1cticas de infiltraci\u00f3n y persistencia, utilizando m\u00e1quinas virtuales (VMs) de <strong>Linux TinyCore<\/strong> en sistemas Windows para introducir una puerta trasera en las redes corporativas. Este ataque fue identificado por investigadores de <strong>Securonix<\/strong>, quienes descubrieron que los atacantes usan correos electr\u00f3nicos de phishing disfrazados como encuestas de \u00abOneAmerica\u00bb para persuadir a las v\u00edctimas de descargar un archivo ZIP de 285 MB. Este archivo contiene una m\u00e1quina virtual Linux preconfigurada con una puerta trasera y dise\u00f1ada para operar de forma encubierta dentro de los sistemas infectados.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/zidrave.net\/wp-content\/uploads\/2024\/08\/image-153-1024x683.png\" alt=\"\" class=\"wp-image-1768\" srcset=\"https:\/\/zidrave.net\/wp-content\/uploads\/2024\/08\/image-153-1024x683.png 1024w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/08\/image-153-300x200.png 300w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/08\/image-153-768x512.png 768w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/08\/image-153-507x338.png 507w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/08\/image-153.png 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Estrategia de Infiltraci\u00f3n con M\u00e1quinas Virtuales<\/h3>\n\n\n\n<p>El uso de m\u00e1quinas virtuales en ataques de phishing no es una t\u00e9cnica nueva, pero la forma en que CRON#TRAP lo implementa es particularmente \u00fanica. Normalmente, los ciberatacantes instalan manualmente m\u00e1quinas virtuales despu\u00e9s de acceder a una red; sin embargo, CRON#TRAP instala una <strong>VM Linux no supervisada<\/strong> con solo hacer clic en un acceso directo malicioso. Este proceso emplea <strong>PowerShell y scripts batch<\/strong> que activan el programa <strong>QEMU<\/strong> (una plataforma de virtualizaci\u00f3n leg\u00edtima) para desplegar la VM. La infecci\u00f3n permanece oculta tras un mensaje falso que simula una conexi\u00f3n rota con la encuesta, usando un archivo PNG descargado desde un servidor remoto.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Chisel: La Herramienta de Puerta Trasera<\/h3>\n\n\n\n<p>Dentro de la VM <strong>PivotBox<\/strong>, la puerta trasera utiliza una herramienta de tunelizaci\u00f3n de red llamada <strong>Chisel<\/strong>, la cual permite el uso de canales seguros mediante <strong>HTTP y SSH<\/strong> para conectarse con un servidor de comando y control (C2). Esta configuraci\u00f3n permite a los atacantes ejecutar comandos en el sistema host comprometido, realizar vigilancia, gestionar archivos y extraer datos. Adem\u00e1s, se configuran claves SSH para mantener el acceso persistente, y las modificaciones en el archivo &#8216;bootlocal.sh&#8217; aseguran que la VM se inicie autom\u00e1ticamente tras cada reinicio del sistema.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">T\u00e9cnicas de Detecci\u00f3n y Prevenci\u00f3n<\/h3>\n\n\n\n<p>Para detectar y prevenir ataques como CRON#TRAP, los expertos recomiendan supervisar procesos como <strong>qemu.exe<\/strong> y evitar su ejecuci\u00f3n en carpetas accesibles al usuario. Tambi\u00e9n es aconsejable <strong>bloquear herramientas de virtualizaci\u00f3n<\/strong> en dispositivos cr\u00edticos, ya sea mediante listas de bloqueo o configuraciones del BIOS. Estas precauciones son esenciales, dado que QEMU es una herramienta leg\u00edtima firmada digitalmente, lo cual dificulta que los sistemas de seguridad detecten actividades maliciosas dentro de la VM.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Casos Anteriores: Precedente de QEMU en Ataques<\/h3>\n\n\n\n<p>Este m\u00e9todo de abuso de QEMU se observ\u00f3 previamente en otra campa\u00f1a detectada por <strong>Kaspersky en marzo de 2024<\/strong>, donde los atacantes tambi\u00e9n utilizaron QEMU para crear interfaces de red virtuales y conexiones ocultas a servidores remotos. En este caso, la m\u00e1quina virtual ejecutaba una versi\u00f3n de <strong>Kali Linux<\/strong> y configuraba un t\u00fanel de comunicaciones con solo 1 MB de RAM, permitiendo comunicaciones encubiertas sin activar las alarmas de los sistemas de seguridad.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Conclusi\u00f3n<\/h3>\n\n\n\n<p>CRON#TRAP representa un desaf\u00edo serio para la ciberseguridad, ya que emplea t\u00e9cnicas avanzadas de persistencia y encubrimiento mediante la virtualizaci\u00f3n. Para protegerse contra este tipo de amenazas, es crucial que las organizaciones adopten controles de seguridad que monitoreen el uso de aplicaciones de virtualizaci\u00f3n y fortalezcan las pol\u00edticas de control de acceso en sus sistemas cr\u00edticos.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La campa\u00f1a de phishing CRON#TRAP marca un avance en las<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,3193,6107],"tags":[8705,8704,8708,8706,8712,5549,8703,188,8711,4709,191,8713,8716,192,1718,8707,8715,8709,8714,8717,8710,1405],"class_list":["post-3329","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-linux","category-windows","tag-ataque-persistente","tag-chisel","tag-comandos-c2","tag-crontrap","tag-deteccion-y-bloqueo","tag-exfiltracion-de-datos","tag-linux-vm","tag-malware","tag-monitoreo-de-procesos","tag-persistencia","tag-phishing","tag-phishing-avanzado","tag-pivotbox","tag-prevencion","tag-puerta-trasera","tag-qemu","tag-qemu-exe","tag-red-corporativa","tag-seguridad-de-red","tag-tinycore","tag-tunel-http-ssh","tag-windows"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3329","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=3329"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3329\/revisions"}],"predecessor-version":[{"id":3330,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3329\/revisions\/3330"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=3329"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=3329"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=3329"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}