کمپین فیشینگ جدیدی با نام “CRON#TRAP“، ویندوز را با ماشین مجازی (VM) لینوکس آلوده میسازد که حاوی یک درب پشتی داخلی است تا دسترسی مخفیانه به شبکههای شرکتی را مهیا کند.
به تازگی کمپین جدیدی توسط محققان Securonix شناسایی شده است که از ایمیلهای فیشینگ، برای اجرای نصبهای بدون نظارت ماشینهای مجازی لینوکس جهت نفوذ به شبکههای شرکتی استفاده میکند. در این کمپین از ایمیلهای فیشینگ با پیوست فایل ZIP شامل میانبر ویندوز با نام “OneAmerica Survey.lnk” و پوشه “داده” که حاوی اپلیکیشن ماشین مجازی QEMU است و فایل اجرایی اصلی به صورت fontdiag.exe پنهان شده است.
TinyCore Linux VM سفارشی تحت عنوان PivotBox با یک درب پشتی جهت ایمنسازی ارتباط پایدار C2 از قبل بارگذاری میشود تا امکان فعالیت در پس زمینه را برای مهاجمان فراهم کند. از آنجایی که QEMU VM یک ابزار قانونی است که به صورت دیجیتالی نیز امضا شده، ویندوز هیچ هشداری در مورد اجرای آن نمیدهد و ابزارهای امنیتی نمیتوانند برنامههای مخرب در حال اجرا در داخل ماشین مجازی را بررسی کنند.
https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/