CRON#TRAP : un nouveau malware infecte Windows en se cachant dans une machine virtuelle Linux pour échapper aux antivirus
CRONTRAP01
Le malware caché dans une VM Linux
Des chercheurs en cybersécurité ont détecté une nouvelle campagne de malware qui infecte les systèmes Windows en utilisant une instance virtuelle Linux contenant une porte dérobée capable de prendre le contrôle à distance des machines compromises. Oui, parce qu'infecter Windows tout seul, c'est tellement 2023 !
Cette campagne "intrigante", baptisée CRON#TRAP, commence avec un fichier raccourci malveillant (LNK), probablement distribué sous forme d'archive ZIP via un e-mail de phishing. L'approche classique : "Ouvrez-moi, je suis inoffensif… ou pas !"
Le point fort de CRON#TRAP ? L'instance virtuelle Linux pré-configurée avec une porte dérobée qui se connecte automatiquement à un serveur de commande et de contrôle (C2) contrôlé par l'attaquant. Une astuce bien propre, qui permet à l'attaquant de rester incognito sur la machine de la victime, tout en préparant ses petites activités malveillantes dans un environnement bien caché. De quoi rendre fou les antivirus classiques, qui n'y voient que du feu.
Le message de phishing se présente comme un "sondage OneAmerica" (parce que pourquoi pas ?) et contient une archive ZIP de 285 Mo. Dès que la victime l'ouvre, le processus d'infection se met en marche. Et là, surprise ! Ce fichier LNK sert à extraire et lancer un environnement Linux léger émulé via QEMU, un outil de virtualisation open-source tout à fait légitime. Parce que tant qu’à faire, autant utiliser les bons outils ! La VM, quant à elle, tourne sur Tiny Core Linux, histoire de garder ça discret.
Ce raccourci lance ensuite des commandes PowerShell pour ré-extraire le fichier ZIP et exécuter un script caché ("start.bat"). Et, bien sûr, pendant que la victime regarde un faux message d'erreur lui disant que le lien du sondage ne marche plus, en coulisses, la machine virtuelle Linux baptisée PivotBox se met en place. Cerise sur le gâteau : elle est déjà équipée de l'utilitaire Chisel, qui permet d'établir un accès à distance à l'hôte dès que la VM est lancée. Pratique, non ?
Les chercheurs de Securonix expliquent que ce Chisel est configuré pour se connecter à un serveur C2 distant via des websockets, transformant ainsi ce client Chisel en une porte dérobée complète. Un vrai petit bijou de contrôle à distance pour faire passer des commandes et des communications malveillantes dans tous les sens au sein de l'environnement Linux. Qui a dit que Windows et Linux ne pouvaient pas collaborer ?
Et ce n'est qu'un exemple des nombreuses tactiques en constante évolution que les cybercriminels utilisent pour cibler des organisations et dissimuler leurs activités malveillantes. Prenez par exemple une campagne de spear-phishing récemment observée, visant des entreprises de fabrication électronique, d'ingénierie et industrielles dans plusieurs pays européens, notamment pour diffuser le malware GuLoader, lui aussi bien décidé à passer sous les radars.
Ces attaques commencent souvent par des e-mails avec des questions sur des commandes, accompagnés de fichiers ZIP piégés. Les e-mails viennent de faux comptes ou de comptes compromis, souvent en s'insérant dans une conversation existante pour paraître plus légitimes. Une fois ouvert, un fichier batch dans l'archive lance un script PowerShell obfusqué, qui à son tour télécharge un autre pour exécuter le code malveillant. Une belle chaîne de malice bien huilée.
Bref, GuLoader et CRON#TRAP ne cessent de perfectionner leurs techniques pour échapper à la détection et livrer leurs trojans (RATs). Les cybercriminels ciblent spécifiquement des industries et des pays, soulignant l'importance de mesures de sécurité proactives. Car, comme toujours, la meilleure défense reste encore d'être un peu plus malin que l'attaquant... ou du moins d'essayer !
