Исследователи кибербезопасности выявили новую угрозу для пользователей Windows, скрытую в виртуальной машине Linux.
Вредоносная программа, получившая название CRON#TRAP, начинает своё действие с мошеннической рассылки, содержащей заражённый архив ZIP. Этот архив, представленный как опрос от компании OneAmerica, при открытии активирует заражение системы.
Внутри архива находится ярлык LNK, который запускает скрытое средство эмуляции Quick Emulator (QEMU) с легковесной средой Linux Tiny Core. Это позволяет злоумышленникам не только скрыться от антивирусного программного обеспечения, но и установить удалённый доступ к заражённым машинам через специализированный инструмент туннелирования Chisel.
После запуска виртуальной машины, называемой PivotBox, на устройстве пользователя отображается поддельное сообщение об ошибке, что создаёт впечатление неработающей ссылки. Однако на самом деле в этот момент уже устанавливается связь с сервером управления, что делает устройство полностью контролируемым злоумышленниками.
Это открытие подчёркивает новую тактику скрытности и сложности, которую используют киберпреступники для атак на организации. Это свидетельствует о необходимости постоянного обновления защитных механизмов и более тщательного анализа входящих файлов, даже если они кажутся законными.
Вредоносная программа, получившая название CRON#TRAP, начинает своё действие с мошеннической рассылки, содержащей заражённый архив ZIP. Этот архив, представленный как опрос от компании OneAmerica, при открытии активирует заражение системы.
Внутри архива находится ярлык LNK, который запускает скрытое средство эмуляции Quick Emulator (QEMU) с легковесной средой Linux Tiny Core. Это позволяет злоумышленникам не только скрыться от антивирусного программного обеспечения, но и установить удалённый доступ к заражённым машинам через специализированный инструмент туннелирования Chisel.
После запуска виртуальной машины, называемой PivotBox, на устройстве пользователя отображается поддельное сообщение об ошибке, что создаёт впечатление неработающей ссылки. Однако на самом деле в этот момент уже устанавливается связь с сервером управления, что делает устройство полностью контролируемым злоумышленниками.
Это открытие подчёркивает новую тактику скрытности и сложности, которую используют киберпреступники для атак на организации. Это свидетельствует о необходимости постоянного обновления защитных механизмов и более тщательного анализа входящих файлов, даже если они кажутся законными.
