{"id":21413,"date":"2024-11-19T21:00:11","date_gmt":"2024-11-20T00:00:11","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21413"},"modified":"2024-11-19T21:00:56","modified_gmt":"2024-11-20T00:00:56","slug":"malware-crontrap-usa-linux-para-infectar-windows","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/11\/exploits\/malware-crontrap-usa-linux-para-infectar-windows\/","title":{"rendered":"Malware CRON#TRAP usa Linux para infectar Windows"},"content":{"rendered":"\n<p><strong>Malware CRON#TRAP usa Linux virtualizado para infectar sistemas Windows<\/strong><\/p>\n<p style=\"text-align: justify;\">Pesquisadores de seguran\u00e7a cibern\u00e9tica identificaram uma nova campanha de malware, batizada de CRON#TRAP, que utiliza uma t\u00e9cnica inovadora para infectar sistemas Windows, a execu\u00e7\u00e3o de uma inst\u00e2ncia virtual de Linux contendo um backdoor. Essa abordagem permite que o malware mantenha uma presen\u00e7a furtiva nos dispositivos comprometidos, dificultando sua detec\u00e7\u00e3o por solu\u00e7\u00f5es tradicionais de antiv\u00edrus.<\/p>\n<p style=\"text-align: justify;\">A campanha come\u00e7a com um arquivo malicioso no formato LNK (atalho do Windows), geralmente distribu\u00eddo em arquivos ZIP anexados a e-mails de phishing. Esses e-mails fraudulentos simulam ser pesquisas leg\u00edtimas de organiza\u00e7\u00f5es como &#8220;OneAmerica&#8221;, incentivando a v\u00edtima a abrir o arquivo.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Como o CRON#TRAP opera<\/strong><\/p>\n<p>De acordo com os pesquisadores da Securonix, Den Iuzvyk e Tim Peck, o arquivo LNK atua como ponto de partida para criar um ambiente Linux virtualizado dentro do sistema Windows, usando o Quick Emulator (QEMU), uma ferramenta leg\u00edtima de virtualiza\u00e7\u00e3o de c\u00f3digo aberto. A m\u00e1quina virtual utiliza o sistema operacional Tiny Core Linux, pr\u00e9-configurada com um backdoor que se conecta automaticamente a um servidor de comando e controle (C2) controlado pelos invasores.<\/p>\n<p>O processo de infec\u00e7\u00e3o funciona assim:<\/p>\n<ul>\n<li style=\"text-align: justify;\">A v\u00edtima abre o arquivo ZIP anexado ao e-mail de phishing, que cont\u00e9m o atalho malicioso.<\/li>\n<li style=\"text-align: justify;\">Esse atalho aciona comandos PowerShell para extrair e executar o script oculto \u201cstart.bat\u201d.<\/li>\n<li style=\"text-align: justify;\">O script exibe uma mensagem de erro falsa, alegando que o link da pesquisa est\u00e1 inativo, enquanto secretamente configura o ambiente virtual Linux, chamado de PivotBox.<\/li>\n<li style=\"text-align: justify;\">A PivotBox \u00e9 configurada com a ferramenta Chisel, que cria um t\u00fanel para permitir acesso remoto ao dispositivo infectado, transformando o ambiente Linux em um backdoor completo.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Segundo os pesquisadores, o backdoor utiliza websockets para se conectar ao servidor C2, permitindo que os invasores enviem e recebam comandos de forma dissimulada, sem despertar suspeitas.<\/p>\n<p>\u00a0<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgyek-Tc9TXQErmZDy-MCcWO3wVMME0cm70UjBrhOFHxn3Y-4QmTQM63AvyXyEP08SH6zWc7nkYN1bb273RUz6hQe3Wgs58xlKUDAmnpebD9YN216S9joP7SEwdw0u27tZNdCefgtRA8X9_qsXjv9-Y6_Iw5692_ihEKR_sPXT6g1ln2JBnJmexMyyH3W1o\/s728-rw-e365\/CRON-TRAP-3.jpg\" alt=\"Malware Linux VM\" width=\"623\" height=\"366\" \/><\/p>\n<p>\u00a0<\/p>\n<p><strong>Por que o CRON#TRAP \u00e9 muito perigoso?<\/strong><\/p>\n<p style=\"text-align: justify;\">O principal diferencial do CRON#TRAP \u00e9 sua capacidade de ocultar atividades maliciosas em um ambiente virtual separado, dificultando a identifica\u00e7\u00e3o por antiv\u00edrus e ferramentas de monitoramento.<\/p>\n<p style=\"text-align: justify;\">Como o malware opera dentro de uma m\u00e1quina virtual Linux, ele n\u00e3o interage diretamente com o sistema operacional Windows da v\u00edtima, tornando sua detec\u00e7\u00e3o mais complexa.<\/p>\n<p style=\"text-align: justify;\">Essa estrat\u00e9gia n\u00e3o apenas refor\u00e7a a furtividade do malware, mas tamb\u00e9m permite que os invasores escalem suas opera\u00e7\u00f5es. Com acesso remoto ao dispositivo comprometido, eles podem roubar dados, instalar outros malwares e realizar ataques mais elaborados.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Outras campanhas relacionadas<\/strong><\/p>\n<p style=\"text-align: justify;\">A t\u00e1tica de usar scripts PowerShell ofuscados para infectar dispositivos tamb\u00e9m foi observada em outras campanhas de spear-phishing, como a distribui\u00e7\u00e3o do malware GuLoader. Essa campanha visa principalmente empresas de manufatura eletr\u00f4nica, engenharia e ind\u00fastrias em pa\u00edses europeus como Rom\u00eania, Pol\u00f4nia, Alemanha e Cazaquist\u00e3o. Os e-mails, muitas vezes enviados de contas comprometidas, simulam consultas de pedidos e incluem arquivos de lote (batch files) que executam scripts maliciosos.<\/p>\n<p style=\"text-align: justify;\">De forma semelhante ao CRON#TRAP, o GuLoader utiliza t\u00e9cnicas avan\u00e7adas para evadir detec\u00e7\u00f5es e entregar malwares como RATs (Remote Access Trojans). Essa evolu\u00e7\u00e3o constante das t\u00e9cnicas de ataque ressalta a necessidade de medidas proativas de seguran\u00e7a.<\/p>\n<p>\u00a0<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiZTkmQCicoPKutoOaFOA4Wr-OQaENmp2liEZPtPrnWRMSG-iVXPcWo9ebAcTYdNHAwZuOJ8t3BcAXMF4pVm7jSVqCW1Ji8HZ_8r1NY-6tIdr3e6IknDHcp_MXwHZ48zOCRkYUj4SetJLRhw_8cONYDykBz_ozKWwi-u4d-SRjXexL3yWtbayhyhqwGrqUD\/s728-rw-e365\/powershell.png\" alt=\"Malware Linux VM\" width=\"619\" height=\"357\" \/><\/p>\n<p>\u00a0<\/p>\n<p><strong>Como se proteger contra o CRON#TRAP e amea\u00e7as semelhantes<\/strong><\/p>\n<p style=\"text-align: justify;\">Para reduzir os riscos de infec\u00e7\u00e3o por malwares como o CRON#TRAP, \u00e9 essencial adotar pr\u00e1ticas robustas de seguran\u00e7a cibern\u00e9tica:<\/p>\n<ol>\n<li><strong>Desconfie de e-mails suspeitos<\/strong>: Evite abrir anexos ou clicar em links de e-mails inesperados, mesmo que pare\u00e7am vir de fontes confi\u00e1veis. Verifique cuidadosamente o endere\u00e7o do remetente.<\/li>\n<li><strong>Use ferramentas de seguran\u00e7a atualizadas<\/strong>: Certifique-se de que seu antiv\u00edrus est\u00e1 configurado para realizar atualiza\u00e7\u00f5es autom\u00e1ticas e escaneamentos regulares.<\/li>\n<li><strong>Evite downloads de arquivos ZIP de origem duvidosa<\/strong>: Muitos malwares se escondem em arquivos compactados. Analise qualquer arquivo suspeito antes de abri-lo.<\/li>\n<li><strong>Desative scripts autom\u00e1ticos no PowerShell<\/strong>: Limitar o uso de scripts PowerShell em sua rede reduz a superf\u00edcie de ataque.<\/li>\n<li><strong>Implemente monitoramento avan\u00e7ado<\/strong>: Ferramentas de EDR (Endpoint Detection and Response) podem ajudar a identificar atividades incomuns em dispositivos.<\/li>\n<li><strong>Eduque os usu\u00e1rios<\/strong>: Treine sua equipe para reconhecer sinais de phishing e outros tipos de ataques.<\/li>\n<\/ol>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">O CRON#TRAP representa uma evolu\u00e7\u00e3o nas estrat\u00e9gias de ciberataques, utilizando a virtualiza\u00e7\u00e3o para evitar detec\u00e7\u00e3o e manter uma presen\u00e7a furtiva nos sistemas infectados. Campanhas como essa refor\u00e7am a import\u00e2ncia de pr\u00e1ticas de seguran\u00e7a cibern\u00e9tica, incluindo o uso de ferramentas avan\u00e7adas, monitoramento cont\u00ednuo e conscientiza\u00e7\u00e3o dos usu\u00e1rios.<\/p>\n<p style=\"text-align: justify;\">\u00c0 medida que as amea\u00e7as continuam a se sofisticar, organiza\u00e7\u00f5es e indiv\u00edduos devem se manter vigilantes e proativos para proteger seus sistemas contra essas amea\u00e7as emergentes.<\/p>\n<p>\u00a0<\/p>\n<p>Fonte e imagens: <a href=\"https:\/\/thehackernews.com\/2024\/11\/new-crontrap-malware-infects-windows-by.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2024\/11\/new-crontrap-malware-infects-windows-by.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Malware CRON#TRAP usa Linux virtualizado para infectar sistemas Windows Pesquisadores de seguran\u00e7a cibern\u00e9tica identificaram uma nova campanha de malware, batizada de CRON#TRAP, que utiliza uma t\u00e9cnica inovadora para infectar sistemas Windows, a execu\u00e7\u00e3o de uma inst\u00e2ncia virtual de Linux contendo um backdoor. Essa abordagem permite que o malware mantenha uma presen\u00e7a furtiva nos dispositivos comprometidos, [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21418,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21413","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21413","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21413"}],"version-history":[{"count":6,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21413\/revisions"}],"predecessor-version":[{"id":21421,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21413\/revisions\/21421"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21418"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21413"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21413"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21413"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}