Cada vez que crees tener bajo control la seguridad de tu computadora, los cibercriminales encuentran una manera de darle la vuelta al sistema. Una nueva campaña de phishing llamada "CRON#TRAP" está llevando los ataques cibernéticos a otro nivel: infecta computadoras Windows usando una máquina virtual de Linux con una puerta trasera oculta. ¿El objetivo? Obtener acceso encubierto a las redes corporativas y permanecer ahí el mayor tiempo posible sin ser detectados.
El uso de máquinas virtuales para actividades maliciosas no es una novedad en el mundo del cibercrimen. Grupos de ransomware y mineros de criptomonedas llevan tiempo aprovechando esta técnica para pasar desapercibidos. La diferencia es que, hasta ahora, los atacantes generalmente configuraban esas VMs de forma manual, una vez que ya habían logrado acceder a la red de una empresa.
La campaña CRON#TRAP, descubierta por los investigadores de Securonix, le da un giro a esta táctica. En lugar de instalar las máquinas virtuales manualmente, los atacantes envían correos de phishing que hacen todo el trabajo sucio: instalan automáticamente una máquina virtual Linux en el sistema de la víctima. Así logran acceso sin levantar sospechas y aseguran un punto de entrada persistente en la red corporativa.
Los correos de phishing de esta campaña se hacen pasar por una supuesta "encuesta de OneAmerica" y vienen acompañados de un archivo ZIP bastante pesado, de 285 MB. Pero este archivo no contiene una encuesta real, sino una trampa: una máquina virtual Linux con una puerta trasera ya instalada, lista para dar acceso a los atacantes.
Al descomprimir el ZIP, el usuario encontrará un acceso directo de Windows llamado "OneAmerica Survey.lnk" (que parece inofensivo) y una carpeta llamada "data". Dentro de esta carpeta está la aplicación de máquina virtual QEMU, pero con el ejecutable principal camuflado bajo el nombre de "fontdiag.exe", para que parezca algo relacionado con las fuentes del sistema.
Cuando el usuario hace clic en el acceso directo de la "encuesta", en realidad está activando un comando de PowerShell que descomprime el archivo y lo coloca en una carpeta en su sistema, llamada "%UserProfile%\datax". A partir de ahí, se ejecuta un archivo llamado "start.bat" que configura y lanza una máquina virtual Linux personalizada en la computadora de la víctima, sin que esta se dé cuenta de lo que realmente está sucediendo.
Mientras se instala la máquina virtual, el archivo por lotes muestra una imagen PNG descargada de internet con un mensaje de "error de servidor". Esto es solo un truco para despistar, como si el enlace a la "encuesta" estuviera roto y nada hubiera pasado. Así, la víctima piensa que simplemente hubo un fallo y no sospecha que en realidad acaba de abrir la puerta a un intruso en su sistema.
La máquina virtual que se instala, llamada "PivotBox," es una versión personalizada de Linux TinyCore y viene con una puerta trasera preinstalada. Esto le da al atacante un canal de comunicación constante (llamado C2 o "Command & Control") para que pueda operar en la computadora de la víctima sin ser detectado.
Una de las razones por las que este truco funciona tan bien es que QEMU, la herramienta que usan para correr la máquina virtual, es una aplicación legítima y está firmada digitalmente. Windows no ve nada sospechoso en su ejecución, y las herramientas de seguridad no pueden "ver" lo que ocurre dentro de la máquina virtual. Así, el atacante puede moverse tranquilamente dentro del sistema, sin levantar alertas, como si tuviera su propia "habitación secreta" dentro del dispositivo infectado.
Conoce más sobre: Detección de Ataques de Phishing con Wazuh
En el centro de esta puerta trasera hay una herramienta llamada Chisel, diseñada para crear un "túnel" de comunicación segura entre la máquina comprometida y el servidor de control del atacante. Básicamente, Chisel permite que los atacantes se comuniquen con la computadora infectada a través de WebSockets, usando protocolos como HTTP y SSH, lo que les permite saltarse algunas de las barreras del firewall.
Para asegurarse de que la máquina virtual siga activa incluso si la computadora se reinicia, el entorno de QEMU está configurado para iniciarse automáticamente en cada arranque del sistema. Esto lo logran modificando un archivo llamado bootlocal.sh, que ejecuta ciertos comandos al inicio. Además, el sistema genera y carga claves SSH, lo que permite a los atacantes entrar una y otra vez sin tener que volver a autenticarse.
Una vez que tienen acceso, hay algunos comandos clave que los atacantes pueden ejecutar. Por ejemplo, el comando get-host-shell les da acceso a un "shell" interactivo en el sistema infectado, donde pueden escribir y ejecutar comandos directamente. Otro comando, get-host-user, les permite ver con qué permisos están operando, para saber si tienen acceso de administrador o de un usuario normal.
Estos comandos les dan un rango completo de opciones. Desde monitorear la actividad de la computadora y mover archivos, hasta manejar la red, subir nuevas cargas maliciosas, y robar datos. Los atacantes tienen a su disposición un arsenal de herramientas para adaptarse a sus necesidades y sacar el máximo provecho del dispositivo infectado.
Historial de comandos del actor de la amenaza
Te podrá interesar leer: ¿Cómo proteger tu infraestructura de red?
El truco de usar QEMU para comunicaciones ocultas no es algo nuevo entre los cibercriminales. De hecho, a principios de 2024 se descubrió otra campaña en la que los atacantes aprovecharon QEMU para crear conexiones virtuales y comunicarse en secreto con sus propios servidores.
En esa ocasión, los hackers usaron una versión extremadamente ligera de Linux Kali dentro de una máquina virtual, funcionando con apenas 1 MB de RAM. A pesar de ser tan pequeña, esta máquina virtual fue suficiente para establecer un "túnel" de comunicación que los mantenía conectados al sistema infectado sin llamar la atención.
Para protegerse contra este tipo de ataques, hay algunas buenas prácticas que pueden hacer la diferencia. Aquí te dejamos algunas recomendaciones:
Monitorear procesos sospechosos: Configura alertas para cualquier proceso qemu.exe que se ejecute desde carpetas accesibles al usuario. Así, puedes identificar si alguien está usando QEMU en lugares donde no debería estar.
Bloquear el uso de QEMU y herramientas de virtualización: Considera añadir QEMU y otras herramientas de virtualización a una lista de bloqueo en los dispositivos que no necesitan ejecutar máquinas virtuales.
Desactivar la virtualización en dispositivos críticos: Para equipos especialmente importantes, como servidores o dispositivos que contienen información sensible, deshabilita la virtualización directamente desde la configuración del BIOS. Esto reduce las posibilidades de que alguien pueda usar una máquina virtual para esconderse dentro del sistema.
Estos pasos pueden ayudarte a prevenir ataques que intenten abusar de herramientas de virtualización para esconderse. Al mantener un control estricto sobre los programas y procesos que pueden ejecutarse en tus dispositivos, te proteges contra tácticas cada vez más sofisticadas de los atacantes.