- Une attaque de phishing entraîne le téléchargement d’un fichier volumineux
- La machine virtuelle Linux est préchargée avec des logiciels malveillants, offrant aux escrocs toutes sortes d’avantages
- Securonix recommande la prudence lors du traitement des e-mails entrants
Une nouvelle technique de phishing créative a été repérée. Elle cherche à inciter les victimes à télécharger et à installer une machine virtuelle Linux sur leurs points de terminaison Windows. La machine virtuelle est préchargée avec une porte dérobée, accordant aux escrocs un accès sans faille aux appareils compromis.
Un rapport des chercheurs en cybersécurité de Securonix a baptisé la campagne « CRON#TRAP ». Cela commence par une fausse enquête « OneAmerica » qui distribue le fichier d’installation de la VM (285 Mo) et une fausse image contextuelle d’erreur.
Si les victimes tombent dans le piège et déclenchent le programme d’installation, celui-ci s’exécutera en arrière-plan, tout en affichant le faux message d’erreur au premier plan. De cette façon, les victimes penseront que l’enquête n’était pas disponible à ce moment-là. En arrière-plan, cependant, une version entièrement légitime d’une machine virtuelle Linux, appelée TinyCore, sera installée via QEMU, un outil de virtualisation légitime et open source qui permet d’émuler diverses architectures matérielles et de processeur.
Tromper l’AV
Puisque QEMU est légitime, aucun programme antivirus ne le signale comme malveillant. De plus, ils ne signaleront rien de ce qui se passe dans la machine virtuelle, car elle est murée et fonctionne comme un bac à sable. “Cet environnement Linux émulé permet à l’attaquant d’opérer en dehors de la visibilité des solutions antivirus traditionnelles”, ont expliqué les chercheurs.
Cependant, comme la VM est livrée avec une porte dérobée, les cybercriminels peuvent l’utiliser pour un certain nombre de choses, notamment pour tester le réseau et la reconnaissance initiale, pour installer et préparer les outils, pour manipuler et exécuter les charges utiles, pour la persistance de la configuration et l’élévation des privilèges, pour manipuler les clés SSH pour l’accès à distance, etc. gestion des fichiers et de l’environnement, énumération des systèmes et des utilisateurs, et canaux potentiels d’exfiltration ou de contrôle des commandes.
La porte dérobée contiendrait un outil appelé Chisel, qui est un programme de tunneling réseau, préconfiguré pour établir un canal de communication sécurisé avec le serveur C2.
Étant donné que la campagne commence par un simple e-mail de phishing, Securonix conseille d’être prudent lors du traitement des e-mails entrants.
Via BipOrdinateur
Vous aimerez peut-être aussi
#Une #nouvelle #campagne #phishing #dangereuse #infecte #les #appareils #Windows #avec #une #machine #virtuelle #Linux #malveillante