Специалисты Securonix обнаружилинеобычную кибератаку под названием CRON#TRAP. Хакеры используют вредоносный ярлык, который после запуска запускает скрытую кастомизированную версию Linux с помощью программы QEMU. Такой механизм позволяет атакующим незаметно присутствовать на компьютере жертвы и управлять им, обходя защитные программы.
QEMU – легальный инструмент для виртуализации, поэтому его наличие обычно не вызывает подозрений. В атаке злоумышленники настроили QEMU на запуск небольшой версии Linux – Tiny Core Linux со встроенным бэкдором . Программа автоматически связывается с C2-сервером, открывая хакерам постоянный доступ для управления системой.
Исследователи считают, что заражение началось с фишингового письма. В письме находился файл “OneAmerica Survey.zip” размером 285 МБ, в котором был ярлык и директория с QEMU. Пользователь, распаковав архив, видит только ярлык, который при запуске начинает цепочку действий: сначала показывает сообщение об ошибке, а затем запускает QEMU, замаскированный под файл с названием “fontdiag.exe”. В скрытой Linux-среде хакеры могут взаимодействовать с основной системой, используя специальные команды, например, для получения данных о пользователе.
Кроме того, в виртуальной системе PivotBox злоумышленники установили программы, которые помогают следить за сетью, загружать файлы и сохранять изменения. Один из ключевых инструментов – файл “crondx”, являющийся модифицированной версией программы Chisel. Инструмент позволяет скрытно передавать данные через фаерволы, создавая постоянное зашифрованное соединение с сервером хакеров.
Подобный метод взлома требует высоких навыков и использования легитимных инструментов, что усложняет обнаружение. Securonix советует избегать скачивания файлов из неизвестных источников, особенно архивов, присланных по электронной почте. Также необходимо проверять системные папки на наличие подозрительных файлов и включить журналирование для отслеживания действий PowerShell, чтобы своевременно обнаружить попытки атакующих проникнуть в систему.