آلوده‌سازی ویندوز به درب‌پشتی VMهای لینوکس در حملات فیشینگ CRON#TRAP

security news

کمپین فیشینگ جدیدی با نام “CRON#TRAP“، ویندوز را با ماشین مجازی (VM) لینوکس آلوده می‌سازد که حاوی یک درب پشتی داخلی است تا دسترسی مخفیانه به شبکه‌های شرکتی را مهیا کند.

به تازگی کمپین جدیدی توسط محققان Securonix شناسایی شده است که از ایمیل‌های فیشینگ، برای اجرای نصب‌های بدون نظارت ماشین‌های مجازی لینوکس جهت نفوذ به شبکه‌های شرکتی استفاده می‌کند. در این کمپین از ایمیل‌های فیشینگ با پیوست فایل ZIP شامل میانبر ویندوز با نام “OneAmerica Survey.lnk” و پوشه “داده” که حاوی اپلیکیشن ماشین مجازی QEMU است و فایل اجرایی اصلی به صورت fontdiag.exe پنهان شده است.

 TinyCore Linux VM سفارشی تحت عنوان PivotBox با یک درب پشتی جهت ایمن‌سازی ارتباط پایدار C2 از قبل بارگذاری می‌شود تا امکان فعالیت در پس زمینه را برای مهاجمان فراهم کند. از آنجایی که QEMU VM یک ابزار قانونی است که به صورت دیجیتالی نیز امضا شده، ویندوز هیچ هشداری در مورد اجرای آن نمی‌دهد و ابزارهای امنیتی نمی‌توانند برنامه‌های مخرب در حال اجرا در داخل ماشین مجازی را بررسی کنند.

https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/