Neue Angriffsmasche: Linux-VM infiziert Windows : CRON#TRAP-Malware nutzt Linux-VM für Windows-Angriff
Die Phishing-Kampagne CRON#TRAP hat mit einer innovativen Methode überrascht: Eine versteckte Linux-VM wird genutzt, um Windows zu infizieren und Angreifern unbemerkt Fernzugriff zu gewähren. Experten sind alarmiert.
„Besonders alarmierend an der ‚CRON#TRAP‘-Kampagne ist, dass die emulierte Linux-Instanz eine vorinstallierte Hintertür hat, die automatisch eine Verbindung zu einem Server der Angreifer herstellt“, erklären die Sicherheitsexperten Den Iuzvyk and Tim Peck von Securonix. „So können die Angreifer unbemerkt auf dem infizierten System bleiben und weitere schädliche Aktionen ausführen, ohne dass herkömmliche Antivirenprogramme sie erkennen können.“
Die Phishing-Nachrichten geben vor, eine „OneAmerica-Umfrage“ zu sein, und enthalten ein großes ZIP-Archiv (285 MB), das beim Öffnen die Infektion startet. Eine versteckte Verknüpfungsdatei (LNK) im Archiv entpackt und startet eine abgespeckte Linux-Umgebung, die über das legitime Virtualisierungs-Tool QEMU läuft. Diese virtuelle Maschine basiert auf Tiny Core Linux.
Einsatz der PivotBox
Durch die Verknüpfung werden PowerShell-Befehle aktiviert, die das ZIP-Archiv erneut entpacken und ein unsichtbares Skript („start.bat“) ausführen. Das Skript zeigt dem Opfer eine Fehlermeldung, die vorgibt, dass der Umfragelink nicht mehr funktioniert. Im Hintergrund wird jedoch die Linux-Umgebung „PivotBox“ eingerichtet, die das Chisel-Tunnelwerkzeug enthält und sofortigen Fernzugriff auf das System ermöglicht.
Das Chisel-Tool ist so eingestellt, dass es sich automatisch mit einem Angreifer-Server (C2-Server) bei 18.208.230[.]174 verbindet und dadurch eine Hintertür öffnet, durch die die Angreifer ungehindert über die Linux-Umgebung auf den infizierten Rechner zugreifen können.
Diese neue Taktik ist eine von vielen, die Cyberkriminelle ständig weiterentwickeln, um unbemerkt Organisationen anzugreifen. Ein Beispiel ist eine gezielte Phishing-Kampagne, die Firmen in der Elektronikfertigung, im Ingenieurwesen und in der Industrie in Europa mit der schwer erkennbaren GuLoader-Malware infiziert.
„Die E-Mails enthalten oft Bestellanfragen und ein Archiv als Anhang“, so Tara Gould, Forscherin bei Cado Security. „Sie werden von unterschiedlichen Absendern geschickt, darunter gefälschte Firmen oder gehackte Konten. Häufig wird ein bestehender E-Mail-Verlauf genutzt oder eine Anfrage zu einer Bestellung gestellt.“
Diese Angriffe richten sich vor allem gegen Länder wie Rumänien, Polen, Deutschland und Kasachstan. Sie beginnen mit einer Batch-Datei im Archivanhang, die ein verschleiertes PowerShell-Skript enthält. Dieses Skript lädt dann ein weiteres Skript von einem externen Server. Dieses zweite Skript reserviert Speicherplatz und führt schließlich den GuLoader-Code aus, der die nächste Stufe der Schadsoftware herunterlädt.
„Die GuLoader-Malware entwickelt sich ständig weiter, um Erkennungsmechanismen zu umgehen und Fernzugriffs-Trojaner zu installieren“, so Gould. „Kriminelle konzentrieren sich zunehmend auf bestimmte Branchen in ausgewählten Ländern. Diese Widerstandsfähigkeit zeigt, wie wichtig proaktive Sicherheitsmaßnahmen sind.“