Tech iCrewPlay.comTech iCrewPlay.com
  • Scienza
  • Spazio
  • Natura
    • Cambiamenti climatici
  • Curiosità
  • Salute
  • Recensione
  • Tecnologia
    • App e software
    • Prodotti Audio
    • Domotica e IoT
    • Elettrodomestici
    • Guide
    • Hardware e periferiche
    • Notebook e PC
    • Smartphone e tablet
    • Visione Digitale
    • Wearable
    • Cronologia
    • Seguiti
    • Segui
Cerca
  • Videogiochi
  • Libri
  • Cinema
  • Anime
  • Arte
Copyright © Alpha Unity. Tutti i diritti riservati.​
Lettura: CRON#TRAP: nuova campagna infetta Windows tramite Linux
Share
Notifica
Ridimensionamento dei caratteriAa
Tech iCrewPlay.comTech iCrewPlay.com
Ridimensionamento dei caratteriAa
  • Videogiochi
  • Libri
  • Cinema
  • Anime
  • Arte
Cerca
  • Scienza
  • Spazio
  • Natura
    • Cambiamenti climatici
  • Curiosità
  • Salute
  • Recensione
  • Tecnologia
    • App e software
    • Prodotti Audio
    • Domotica e IoT
    • Elettrodomestici
    • Guide
    • Hardware e periferiche
    • Notebook e PC
    • Smartphone e tablet
    • Visione Digitale
    • Wearable
    • Cronologia
    • Seguiti
    • Segui
Seguici
  • Contatto
  • Media Kit
  • Chi siamo
  • Lavora con noi
  • Cookie Policy
  • Disclaimer
Copyright © Alpha Unity. Tutti i diritti riservati.​
App e softwareTecnologia

CRON#TRAP: nuova campagna infetta Windows tramite Linux

CRON#TRAP è il nome di una nuova campagna di infezione che sfrutta file .LNK di Windows (e anche Linux in macchina virtuale) per infettare i sistemi operativi a finestre

Andrea Tasinato 8 mesi fa Commenta! 6
SHARE

I ricercatori di sicurezza informatica hanno segnalato una nuova campagna malware che infetta i sistemi Windows tramite un’istanza Linux la quale contiene una backdoor, capace di stabilire un accesso remoto agli host compromessi; la curiosa campagna che è stata denominata CRON#TRAP, inizia con un file di collegamento Windows malevolo (LNK), probabilmente distribuito sotto forma di archivio ZIP tramite un’email di phishing.

Contenuti di questo articolo
CRON#TRAP: le analisi dei ricercatori di sicurezza informaticaLa campagna CRON#TRAP utilizza PowerShellChi e cosa prende di mira la campagna di infezione CRON#TRAPI file collegamento (.LNK) non si aprono da soli

CRON#TRAP: le analisi dei ricercatori di sicurezza informatica

“Ciò che rende la campagna CRON#TRAP particolarmente preoccupante è che l’istanza emulata di Linux viene pre-configurata con una backdoor che si connette automaticamente a un server di comando e controllo (C2) controllato dall’attaccante“, hanno spiegato i ricercatori di Securonix, Den Iuzvyk e Tim Peck, in una loro analisi, la quale aggiunge che: “Questa configurazione permette all’attaccante di mantenere una presenza furtiva sul computer della vittima, predisponendo ulteriori attività dannose all’interno di un ambiente nascosto, rendendo difficile il rilevamento per le soluzioni antivirus tradizionali.“

I messaggi di phishing si presentano come un “sondaggio di OneAmerica” che include un grande archivio ZIP da 285MB che, una volta aperto, avvia il processo di infezione.

Leggi Altro

Motorola Razr 60 Ultra: uno smartphone e due stili
Microsoft terminerà il supporto per le password nell’app Authenticator a partire dal 1 agosto 2025.
Prorelax Vacuum Massager Sensitive: micidiale contro la cellulite ed efficace per il lipedema
Scattered Spider prende di mira il settore aereo: l’FBI lancia l’allarme

La campagna CRON#TRAP utilizza PowerShell

Come parte di questa campagna d’attacco, ancora senza attribuzione specifica, il file LNK serve come condotto per estrarre e avviare un ambiente Linux personalizzato e leggero, emulato tramite Quick Emulator (QEMU), uno strumento di virtualizzazione open-source legittimo; da segnalare che la macchina virtuale esegue Tiny Core Linux, una distribuzione di Linux nota per la sua estrema leggerezza.

Cron#trap: nuova campagna infetta windows tramite linux
Lo script della campagna cron#trap

Il collegamento lancia successivamente dei comandi PowerShell responsabili della ri-estrazione del file ZIP e dell’esecuzione di uno script “start.bat” nascosto, che a sua volta mostra un falso messaggio di errore alla vittima, dando l’impressione che il link del sondaggio non funzioni più.

Durante l’esecuzione in background, l’ambiente Linux virtuale QEMU, chiamato PivotBox, viene impostato con l’utility di tunneling Chisel, garantendo un accesso remoto all’host immediatamente dopo l’avvio dell’istanza QEMU.

“Il file binario appare come un client Chisel pre-configurato, progettato per connettersi a un server di Comando e Controllo (C2) remoto all’indirizzo IP 18.208.230[.]174 tramite websocket“, hanno detto i ricercatori. “L’approccio degli attaccanti trasforma efficacemente questo client Chisel in una backdoor completa, permettendo al traffico di comando e controllo di fluire dentro e fuori dall’ambiente Linux.”

Cron#trap: nuova campagna infetta windows tramite linux
Altro script powershell, relativo all’infezione, sempre della campagna cron#trap

Chi e cosa prende di mira la campagna di infezione CRON#TRAP

Lo sviluppo è solo una delle molte tattiche in continua evoluzione che gli attori malevoli stanno utilizzando per colpire le organizzazioni e nascondere attività dannose; un esempio è una campagna di spear-phishing osservata nel prendere di mira aziende di produzione elettronica, ingegneria e industrie in Paesi europei per distribuire il malware GuLoader, noto per essere difficile da rilevare.

“Gli email includono tipicamente richieste d’ordine e contengono un allegato di archivio“, ha detto Tara Gould, ricercatrice di Cado Security. “Le email sono inviate da vari indirizzi, inclusi quelli di aziende false e account compromessi. Solitamente le email si inseriscono in una conversazione email esistente o richiedono informazioni su un ordine.”

Cron#trap: nuova campagna infetta windows tramite linux

L’attività, che ha principalmente preso di mira Paesi come Romania, Polonia, Germania e Kazakistan, inizia con un file batch presente nell’archivio; questo file batch incorpora uno script PowerShell offuscato che successivamente scarica un altro script PowerShell da un server remoto.

Il secondo script PowerShell include funzionalità per allocare memoria e infine eseguire il codice shell di GuLoader per recuperare il payload della fase successiva.

“Il malware GuLoader continua ad adattare le sue tecniche per evitare il rilevamento e distribuire RAT (Remote Access Trojans)“,ha detto Gould. “I malintenzionati stanno continuamente prendendo di mira industrie specifiche in determinati Paesi. La sua resilienza evidenzia la necessità di misure di sicurezza proattive.”

I file collegamento (.LNK) non si aprono da soli

Come spesso accade, la campagna CRON#TRAP sfrutta un fattore sempre presente: la scarsa attenzione da parte dell’utente.

Questo fenomeno è interessante perché sembra che il personal computer venga percepito come qualcosa di “distante” dalla vita quotidiana, come se tutto ciò che accade su di esso fosse in qualche modo scollegato dalle azioni dell’utente stesso.

La “dissociazione” tra ciò che si fa (come cliccare su un link ingannevole) e le conseguenze pratiche di queste azioni è un aspetto che richiederebbe una riflessione più ampia, forse più vicina alla psicologia che all’informatica.

In ogni caso, resta il fatto che campagne come questa non avrebbero nemmeno modo di prendere piede se più utenti fossero consapevoli e meno distaccati durante l’uso del personal computer.

E tu cosa ne pensi di tutto questo? Scrivilo sui commenti.

Condividi questo articolo
Facebook Twitter Copia il link
Share
Cosa ne pensi?
-0
-0
-0
-0
-0
-0
lascia un commento lascia un commento

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

  • Contatto
  • Media Kit
  • Chi siamo
  • Lavora con noi
  • Cookie Policy
  • Disclaimer

Copyright © Alpha Unity. Tutti i diritti riservati.​

  • Contatto
  • Media Kit
  • Chi siamo
  • Lavora con noi
  • Cookie Policy
  • Disclaimer
Bentornato in iCrewPlay!

Accedi al tuo account

Hai dimenticato la password?